La Agencia de Seguridad DHS ha informado de seis vulnerabilidades de clasificación crítica en varios dispositivos médicos de GE.

En el documento informativo ICSMA-20-023-01 vemos que la lista de dispositivos afectados se resume a los siguientes: los servidores de telemetría GE CARESCAPE y ApexPro, la estación central CARESCAPE (CSCS), los sistemas del Centro de información clínica (CIC) y los monitores CARESCAPE B450, B650, B850.

Entre las vulnerabilidades descubiertas se incluyen el almacenamiento desprotegido de credenciales, validación de entrada incorrecta, Utilización de credenciales en texto plano en el código de la aplicación, falta de autenticación para funciones crítica, subida de archivos sin restricciones en el tipo de archivo y cifrados inadecuados o débiles.

GE Comenta que por el momento no se ha reportado ningún incidente de ataque en los que se aproveche estas nuevas vulnerabilidades.

Los fallos son:

GE está en el proceso de desarrollar y lanzar parches para estos problemas. Mientras tanto, la compañía recomienda:

Más información:

Us Cert
https://www.us-cert.gov/ics/advisories/icsma-20-023-01

GE Healthcare
https://www.gehealthcare.com/security

SC Magazine
https://www.scmagazine.com/home/health-care/critical-vulnerabilities-found-in-ge-medical-gear/

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *