Múltiples vulnerabilidades en cardiógrafos PageWriter de Philips

Fecha de publicación
17/08/2018
Importancia
3 - Media
Recursos Afectados
  • PageWriter TC10, TC20, TC30, TC50, TC70 todas las versiones anteriores a mayo de 2018.
Descripción

Philips ha reportado varias vulnerabilidades de tipo validación incorrecta de los datos de entrada y uso de contraseñas embebidas en sus cardiógrafos PageWriter. Una explotación exitosa de estas vulnerabilidades podría dar lugar a desbordamientos de búfer o a permitir a un atacante acceder y modificar ajustes en el dispositivo.

Solución

Philips tiene planeada una actualización para corregir estas vulnerabilidades a mediados de 2019.

Philips también ha proporcionado la siguiente información con respecto a un sistema operativo que ya no está respaldado por el fabricante:

Detalle
  • El dispositivo PageWriter no realiza ninguna validación de los datos introducidos por el usuario. Esto puede dar lugar a vulnerabilidades de desbordamiento de búfer o ataques de formato de string. Se ha asignado el CVE-2018-14799 para esta vulnerabilidad.
  • Un atacante que descubra la contraseña embebida de superusuario y acceso físico, puede utilizarla para acceder y modificar todas las configuraciones en el dispositivo, así como reestablecer las contraseñas existentes. Se ha asignado el identificador CVE-2018-14801 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Philips PageWriter TC10, TC20, TC30, TC50, and TC70 Cardiographs
Etiquetas

botón arriba