Múltiples vulnerabilidades en Contec Health CMS8000
Contec Health CMS8000 CONTEC ICU CCU Vital Signs Patient Monitor.
Level Nine ha reportado 5 vulnerabilidades, 1 de severidad alta, 3 medias y 1 baja. Estas vulnerabilidades podrían permitir a un atacante causar una condición de denegación de servicio, modificar el firmware con acceso físico al dispositivo, acceder a un shell de root o emplear credenciales codificadas para realizar cambios de configuración.
Contec Health no ha respondido a las solicitudes de colaboración con CISA para mitigar estas vulnerabilidades. Se invita a los usuarios de estos productos afectados a ponerse en contacto con Contec Health para obtener información adicional.
Se recomienda aplicar las medidas de mitigación descritas en el apartado 4 del aviso de CISA.
El dispositivo CMS800 falla al intentar analizar los datos de red maliciosos enviados por un atacante. Un atacante con acceso a la red podría emitir de forma remota una solicitud UDP maliciosa que bloquearía el dispositivo y requiere un reinicio físico, así como una condición de denegación de servicio masivo en todos los dispositivos CME8000 conectados a la misma red. Se ha asignado el identificador CVE-2022-38100 para la vulnerabilidad de severidad alta.
Para el resto de vulnerabilidades se han asignado los identificadores CVE-2022-36385, CVE-2022-38069, CVE-2022-38453 y CVE-2022-3027.
