MedSec ha identificado una vulnerabilidad
de validación inadecuada de entrada de datos en dispositivos de presión
positiva continua en las vías respiratorias (CPAP). La explotación de esta
vulnerabilidad podría permitir a un atacante provocar un bloqueo del módulo
Wi-Fi del dispositivo, catalogada de Importancia: 4 - Alta
Recursos afectados:
- Dispositivos Luna CPAP (versiones anteriores al 1 de Julio de 2017)
Detalle e impacto de
la vulnerabilidad
• MedSec ha
identificado una vulnerabilidad de validación de entrada inadecuada en dispositivos
de presión positiva continua en las vías respiratorias (CPAP) de BMC Medical y
3B Medical's Luna.
• La explotación de
esta vulnerabilidad podría permitir a un atacante provocar un bloqueo del
módulo Wi-Fi del dispositivo, generando una denegación del servicio que
afectaría al módulo Wi-Fi. Esto no afectaría a la capacidad del dispositivo
para administrar la terapia.
• Para esta
vulnerabilidad se ha asignado el indentificador CVE-2017-12701b.
Recomendación
Esta vulnerabiliad está solucionada en
dispositivos posteriores al 1 de julio de 2017. Para dispositivos anteriores a
1 de julio de 2017, BMC Medical y 3B Medical no existen soluciones disponibles.
Para mitigar el riesgo de explotación
de esta vulnerabilidad, se recomiendan las siguientes medidas:
• Cambiar contraseñas
predeterminadas para reducir el riesgo de acceso no autorizado a las
configuraciones del dispositivo o a las páginas de administración.
• Minimizar la
exposición a la red para todos los dispositivos y/o sistemas médicos y
asegurándose de que no sean accesibles desde Internet.
• Ubicar todos los
dispositivos médicos y dispositivos remotos detrás del cortafuegos y aislarlos
de la red.
• Cuando se requiera
acceso remoto, usar métodos seguros, tales como redes privadas virtuales (VPN),
considerando que las VPN pueden tener vulnerabilidades y deben actualizarse a
la versión más reciente disponible. También verificar que la VPN utilizada sea
tan segura como los dispositivos a los que se conecte.
Más información
· Advisory
(ICSMA-17-227-01) https://ics-cert.us-cert.gov/advisories/ICSMA-17-227-01#footnoteb_6yw8oqn
Fuente:
INCIBE