Reutilización de Nonce en camas articuladas de Stryker
Fecha de publicación 30/01/2019
Importancia
3 - Media
Recursos Afectados
- Secure II MedSurg Bed (habilitada con iBed Wireless), modelo 3002.
- S3 MedSurg Bed (habilitada con iBed Wireless), modelos 3002 S3 y 3005 S3.
- InTouch ICU Bed (habilitada con Bed Wireless), modelos 2131 y 2141.
Descripción
Mathy Vanhoef de imec-DistriNet, KU Leuven, identifico la vulnerabilidad KRACK que Stryker ha notificado. Un atacante podría manipular los datos de tráfico consiguiendo la divulgación de las comunicaciones cifradas o la inyección de datos.
Solución
- Gateway 1.0 – No hay parche disponible
- Gateway 2.0 – Actualizar a la versión 5212-400-905_3.5.002.01
- Gateway 3.0 – Actualizado en la versión actual de software: 5212-500-905_4.3.001.01
Además, Stryker recomienda:
- Deshabilitar la conexión Wireless iBed cuando no sea necesaria.
- Que sus productos se encuentren en una red aislada y posean segmentación propia.
Detalle
- Un potencial atacante podría manipular el tráfico del establecimiento de sesión en 4 pasos en comunicaciones wifi con protección WPA y WPA2 gracias al ataque KRACK y llevar a cabo un ataque de tipo Man in the Middle, pudiendo repetir, descifrar o robar tramas. Se han asignado los identificadores CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087 y CVE-2017-13088 para esta vulnerabilidad.
Listado de referencias