[Actualización 01/09/2021] Múltiples vulnerabilidades en dispositivos de monitorización de pacientes de Philips

Fecha de publicación 11/09/2020
Importancia
4 - Alta
Recursos Afectados
  • Patient Information Center iX (PICiX), versiones B.02, C.02, C.03;
  • PerformanceBridge Focal Point, versión A.01;
  • IntelliVue patient monitors MX100, MX400-MX850 y MP2-MP90, versiones N y anteriores;
  • IntelliVue X3 y X2, versiones N y anteriores.
Descripción

Se han publicado múltiples vulnerabilidades en dispositivos de monitorización de pacientes de Philips que podrían permitir a un atacante el acceso no autorizado a los datos del paciente, reiniciar la aplicación, cerrar el servicio de certificados de forma inesperada, reiniciar el sistema o salir del entorno restringido con privilegios limitados.

Solución

[Actualización 01/09/2021]:

Están previstas las siguientes actualizaciones:

  • Patient Information Center iX (PICiX) Version C.03, para finales de 2020;
  • PerformanceBridge Focal Point para el cuarto trimestre de 2021;
  • IntelliVue Patient Monitors Versions N.00 and N.01 para el primer trimestre de 2021;
  • IntelliVue Patient Monitors Version M.04, contactar con el equipo de asistencia técnica de Philips para obtener la actualización.
  • El sistema de revocación de certificados será implementado en 2023.
Detalle

Los tipos de nuevas vulnerabilidades publicadas se corresponden con los siguientes:

  • Neutralización incorrecta de elementos de fórmula en archivos CSV. Se ha asignado el identificador CVE-2020-16214 para esta vulnerabilidad.
  • Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting). Se ha asignado el identificador CVE-2020-16218 para esta vulnerabilidad.
  • Autenticación incorrecta. Se ha asignado el identificador CVE-2020-16222 para esta vulnerabilidad.
  • Comprobación inadecuada de la revocación de certificados. Se ha asignado el identificador CVE-2020-16228 para esta vulnerabilidad.
  • Manejo inadecuado de la inconsistencia en la longitud de los parámetros. Se ha asignado el identificador CVE-2020-16224 para esta vulnerabilidad.
  • Validación inadecuada del corrector sintáctico de los datos de entrada. Se ha asignado el identificador CVE-2020-16220 para esta vulnerabilidad.
  • Validación incorrecta de entrada. Se ha asignado el identificador CVE-2020-16216 para esta vulnerabilidad.
  • Exposición del recurso a una esfera de control incorrecta. Se ha asignado el identificador CVE-2020-16212 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Medical Advisory (ICSMA-20-254-01) Philips Patient Monitoring Devices
Etiquetas