Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI

Múltiples vulnerabilidades en EDW-100 de Westermo

Fecha31/05/2024
Importancia5 - Crítica
Recursos Afectados

EDW-100: todas las versiones.

Descripción

Nicolai Grødum y Sofia Lindqvist, de PwC Noruega, han informado de 2 vulnerabilidades de severidad crítica que podrían permitir a un atacante acceder al dispositivo utilizando credenciales codificadas y descargar nombres de usuario y contraseñas en texto sin cifrar.

Solución

Para mitigar los riesgos asociados con estas vulnerabilidades, Westermo recomienda seguir las indicaciones descritas en el aviso enlazado en la sección de "Referencias".

Detalle

La vulnerabilidad CVE-2024-36080 afecta al uso de contraseñas codificadas. El producto afectado tiene una cuenta de administrador oculta con una contraseña codificada. En el paquete de firmware, en "image.bin", el nombre de usuario raíz y la contraseña de esta cuenta están codificados y expuestos como cadenas que pueden extraerse trivialmente. Actualmente, no hay forma de cambiar esta contraseña.

La vulnerabilidad CVE-2024-36081 es de tipo credenciales insuficientemente protegidas. El producto afectado podría permitir una solicitud GET, no autenticada, que puede descargar el archivo de configuración que contiene la configuración, el nombre de usuario y las contraseñas en texto sin cifrar.

Múltiples vulnerabilidades en productos Baxter

Fecha31/05/2024
Importancia5 - Crítica
Recursos Afectados

Están afectados los siguientes productos de Baxter (anteriormente Hillrom y Welch Allyn):

  • Welch Allyn Product Configuration Tool: versiones 1.9.4.1 y anteriores.
  • Welch Allyn Connex Spot Monitor (CSM): versiones 1.52 y anteriores.
Descripción

Maarten Boone y Edwin Van Andel (CTO de Zerocopter) y Baxter han reportado 2 vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante modificar la configuración del dispositivo y los datos del firmware, así como acceder a credenciales a usuarios no autorizados.

Solución

Hasta la fecha, Baxter no ha encontrado pruebas de que se hayan puesto en peligro datos personales o sanitarios. Baxter lanzará una actualización de software para todo el software afectado con el fin de solucionar esta vulnerabilidad.

Para más información acerca de las fechas en las que Baxter lanzará la nueva versión de software, consultar las referencias.

Detalle
  • Vulnerabilidad de credenciales insuficientemente protegida, por la cual cualquier credencial que se haya utilizado para la autenticación o la entrada de datos durante el uso de la herramienta de configuración de Welch Allyn puede estar en peligro y debe cambiarse inmediatamente. Se ha asignado el identificador CVE-2024-5176 para esta vulnerabilidad.
  • Vulnerabilidad de uso de clave criptográfica por defecto. El producto afectado utiliza una clave criptográfica predeterminada para una funcionalidad potencialmente crítica. Un atacante podría modificar las configuraciones del dispositivo y los datos del firmware, lo que podría afectar y/o retrasar la atención al paciente. Se ha asignado el identificador CVE-2024-5175 para esta vulnerabilidad.