Múltiples vulnerabilidades en respiradores Hamilton-T1
Fecha de publicación 17/02/2021
Importancia
3 - Media
Recursos Afectados
T1 Ventilator, versiones 2.2.3 y anteriores.
Descripción
Julian Suleder, Raphael Pavlidis y Nils Emmerich, de ERNW Research GmbH, y el Dr. Oliver Matula, de ERNW Enno Rey Netzwerke GmbH, informaron de estas vulnerabilidades a la Oficina Federal de Seguridad de la Información (BSI, Alemania). La BSI proporcionó el informe a CISA. Las vulnerabilidades podrían permitir a un atacante con acceso físico al dispositivo obtener información sensible o provocar una interrupción en el funcionamiento del dispositivo.
Solución
- Actualizar T1 Ventilator a una versión superior a 2.2.3.
Hamilton Medical recomienda a los usuarios las siguientes medidas preventivas:
- Mantener un control físico estricto del ventilador.
- Estar atento a las notificaciones, alarmas y alertas.
- No conectar el aparato a ningún dispositivo de terceros ni utilizar software no autorizado.
Detalle
- Las credenciales embebidas en el respirador podrían permitir a los atacantes, con acceso físico al dispositivo, obtener privilegios de administrador para la interfaz de configuración. Se ha asignado el identificador CVE-2020-27278 para esta vulnerabilidad.
- Una vulnerabilidad de validación XML podría permitir a los atacantes, con privilegios y acceso físico, inutilizar el dispositivo de forma persistente mediante la carga de archivos de configuración especialmente diseñados. Se ha asignado el identificador CVE-2020-27282 para esta vulnerabilidad.
- Una vulnerabilidad de divulgación de información podría permitir a los atacantes con acceso físico a los registros de la interfaz de configuración obtener sumas de comprobación válidas para archivos de configuración manipulados. Se ha asignado el identificador CVE-2020-27290 para esta vulnerabilidad.
Listado de referencias
Etiquetas