Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en ZOOM LATITUDE PRM de Boston Scientific

Fecha de publicación 01/10/2021
Importancia
3 - Media
Recursos Afectados

ZOOM LATITUDE Programmer/Recorder/Monitor (PRM), modelo 3120.

Descripción

Diversos investigadores han reportado a Boston Scientific cinco vulnerabilidades de severidad media que podrían permitir a un atacante obtener información o comprometer la integridad del dispositivo.

Solución

El fabricante no desarrollará ningún parche, ya que pretende que sus usuarios migren al modelo 3300.

Como medidas de mitigación, recomienda:

  • controlar el acceso al dispositivo,
  • mantener el dispositivo en una ubicación segura cuando no esté en uso, y
  • eliminar la información almacenada en el dispositivo antes de retirarlo de la instalación en planta. Las instrucciones para eliminar la PHI se encuentran en el manual del operador.
Detalle
  • Un atacante, con acceso físico al dispositivo, podría eliminar el disco duro o manipular un USB para extraer la contraseña hash mediante técnicas de fuerza bruta. Se ha asignado el identificador CVE-2021-38400 para esta vulnerabilidad.
  • La falta de protección contra técnicas de ingeniería inversa por hardware podría permitir a un atacante, con acceso físico al dispositivo, crear un duplicado de una clave de hardware válida. Se ha asignado el identificador CVE-2021-38394 para esta vulnerabilidad.
  • Un control de acceso inadecuado podría permitir a un atacante acceder al disco duro del dispositivo y cambiar ajustes de telemetría. Se ha asignado el identificador CVE-2021-38392 para esta vulnerabilidad.
  • Una falta de comprobación de la autenticidad del cifrado o integridad del software de la unidad flash podría permitir a un atacante instalar software no autorizado mediante un USB manipulado. Se ha asignado el identificador CVE-2021-38396 para esta vulnerabilidad.
  • El dispositivo afectado usa componentes software con vulnerabilidades sin parchear, lo que podría permitir a un atacante, con acceso físico, explotar alguna de ellas. Se ha asignado el identificador CVE-2021-38398 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Medical Advisory (ICSMA-21-273-01) Boston Scientific Zoom Latitude
Etiquetas