Vulnerabilidad en IntelliVue WLAN de Philips
[Actualización 13/09/2019]: Módulo IntelliVue WLAN, monitor portátil de pacientes:
- IntelliVue MP monitores MP20-MP90 (M8001A/2A/3A/4A/5A/7A/8A/10A)
- WLAN Versión A, Firmware A.03.09
- IntelliVue MP monitores MP5/5SC (M8105A/5AS)
- WLAN Versión A, Firmware A.03.09, Part #: M8096-67501
- IntelliVue MP monitores MP2/X2 (M8102A/M3002A)
- WLAN Versión B, Firmware A.01.09, Part #: N/A (Sustituido por la Versión C)
- IntelliVue MP monitores MX800/700/600 ((865240/41/42)
- WLAN Versión B, Firmware A.01.09, Part #: N/A (Sustituido por la Versión C)
Philips ha identificado una vulnerabilidad que afecta al módulo IntelliVue WLAN, en sus versiones A y B, utilizado en los equipos IntelliVue Patient Monitors.
Philips recomienda sustituir los módulos afectados por la versión C, que en su versión actual de firmware (B.00.31), no se encuentra afectada por esta vulnerabilidad. En el caso de la versión A, Philips indica que publicará un parche que solucionará esta vulnerabilidad a finales de 2019. La versión B se encuentra descontinuada.
Un usuario no autorizado, con alto nivel de conocimientos y acceso a la red local del dispositivo, sería capaz de dañar tanto el firmware del dispositivo, como el flujo de datos.
[Actualización 14/09/2019]:
- El uso de contraseñas hardcodeadas podría permitir a un atacante autenticarse a través de ftp y cargar un firmware malicioso. Se ha asignado el identificador CVE-2019-13530 para esta vulnerabilidad.
- El producto descarga el código fuente o un ejecutable desde una ubicación remota y ejecuta el código sin verificar suficientemente el origen y la integridad del código. Se ha asignado el identificador CVE-2019-13534 para esta vulnerabilidad.
