Múltiples vulnerabilidades en ZOOM LATITUDE PRM de Boston Scientific
Fecha de publicación
01/10/2021
Importancia
3 - Media
Recursos Afectados
ZOOM LATITUDE Programmer/Recorder/Monitor (PRM), modelo 3120.
Descripción
Diversos investigadores han reportado a Boston Scientific cinco vulnerabilidades de severidad media que podrían permitir a un atacante obtener información o comprometer la integridad del dispositivo.
Solución
El fabricante no desarrollará ningún parche, ya que pretende que sus usuarios migren al modelo 3300.
Como medidas de mitigación, recomienda:
- controlar el acceso al dispositivo,
- mantener el dispositivo en una ubicación segura cuando no esté en uso, y
- eliminar la información almacenada en el dispositivo antes de retirarlo de la instalación en planta. Las instrucciones para eliminar la PHI se encuentran en el manual del operador.
Detalle
- Un atacante, con acceso físico al dispositivo, podría eliminar el disco duro o manipular un USB para extraer la contraseña hash mediante técnicas de fuerza bruta. Se ha asignado el identificador CVE-2021-38400 para esta vulnerabilidad.
- La falta de protección contra técnicas de ingeniería inversa por hardware podría permitir a un atacante, con acceso físico al dispositivo, crear un duplicado de una clave de hardware válida. Se ha asignado el identificador CVE-2021-38394 para esta vulnerabilidad.
- Un control de acceso inadecuado podría permitir a un atacante acceder al disco duro del dispositivo y cambiar ajustes de telemetría. Se ha asignado el identificador CVE-2021-38392 para esta vulnerabilidad.
- Una falta de comprobación de la autenticidad del cifrado o integridad del software de la unidad flash podría permitir a un atacante instalar software no autorizado mediante un USB manipulado. Se ha asignado el identificador CVE-2021-38396 para esta vulnerabilidad.
- El dispositivo afectado usa componentes software con vulnerabilidades sin parchear, lo que podría permitir a un atacante, con acceso físico, explotar alguna de ellas. Se ha asignado el identificador CVE-2021-38398 para esta vulnerabilidad.
Listado de referencias
Etiquetas