Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en Vital Signs Monitor VC150 de Innokas Yhtymä Oy

Fecha de publicación 08/01/2021
Importancia
3 - Media
Recursos Afectados
  • Monitor Vital Signs VC150, versiones anteriores a la 1.7.15.
Descripción

Los investigadores, Julian Suleder, Nils Emmerich, Birk Kauer y Oliver Matula, de ERNW, han reportado dos vulnerabilidades, de severidad media, de tipo cross-site scripting (XSS) e inyección de código.

Solución
  • Actualizar a la versión 1.7.15b o posterior.
  • Adicionalmente, el fabricante recomienda:
    • Segmentar la red utilizando VLAN y aislar los dispositivos con medidas de seguridad.
    • Implementar protecciones físicas para evitar accesos no autorizados a los dispositivos.
    • Fomentar la conciencia de seguridad del personal hospitalario.
Detalle
  • Un atacante podría inyectar secuencias arbitrarias de comandos web o HTML, a través del parámetro de nombre de archivo, en ciertos puntos de la interfaz web administrativa. Se ha asignado el identificador CVE-2020-27262 para esta vulnerabilidad.
  • Un atacante podría inyectar segmentos de mensajes HL7 v2.x a través de múltiples parámetros, haciendo uso de un lector de código de barras. Se ha asignado el identificador CVE-2020-27260 para esta vulnerabilidad.  

Encuesta valoración