Credenciales embebidas en múltiples dispositivos médicos de GE
Dispositivos o productos de las siguientes series:
- Optima
- Discovery
- Revolution
- THUNIS
- CADstream
- Infinia
- Precision
- Millenium
- Centricity
- Xeleris
- eNTEGRA
- Image Vault
Para conocer con detalle si su producto se encuentra afectado, por favor, consulte el enlace de la sección Referencias más abajo.
El investigador independiente, Scott Erven ha publicado información acerca de contraseñas embebidas por defecto en múltiples productos de General Electric. Un usuario malintencionado podría omitir las restricciones de acceso en los dispositivos afectados.
GE ha creado actualizaciones de producto que están disponibles bajo demanda, que reemplazarían las credenciales embebidas por defecto por credenciales personalizadas. Para 3 de los productos afectados, no se ha publicado una actualización:
- Optima 680
- Revolution XQ/i
- THUNIS-800+
En la documentación de los productos, se encuentra documentado como cambiar dichas credenciales por defecto (acción recomendada). Si los propietarios de los productos tuvieran problemas para realizar el cambio de credenciales, se aconseja contactar con el servicio de asistencia de GE.
Un atacante podría evadir las restricciones de acceso en los productos afectados ya que podría conocer de antemano las credenciales embebidas por defecto si estas no se hubieran cambiado. Se han reservado los siguientes identificadores para las vulnerabilidades descritas en este aviso: CVE-2010-5306, CVE-2009-5143, CVE-2013-7404, CVE-2014-7232, CVE-2010-5310, CVE-2014-7233, CVE-2012-6693, CVE-2012-6694, CVE-2012-6695, CVE-2013-7442, CVE-2017-14008, CVE-2011-5322, CVE-2007-6757, CVE-2003-1603, CVE-2001-1594, CVE-2010-5309, CVE-2010-5307, CVE-2017-14004, CVE-2004-2777, CVE-2017-14002, CVE-2002-2446, CVE-2012-6660 y CVE-2017-14006.