El Equipo de Preparación para Emergencias Informáticas de los Estados Unidos (US-CERT) emitió otra advertencia sobre vulnerabilidades de seguridad en los equipos médicos fabricados por Medtronic.
El problema esta vez está en los Valleylab FT10 (V4.0.0 y posteriores) y Valleylab FX8 (v1.1.0 y posteriores), generadores electroquirúrgicos utilizados por los cirujanos para procedimientos como la cauterización durante las operaciones.
Esa es la buena noticia: los hospitales son quienes utilizan estos equipo, lo que significa que localizarlos y mitigar o reparar las vulnerabilidades debería ser relativamente sencillo en comparación con el equipo médico utilizado por miles de consumidores.
La parte negativa es que dos de las vulnerabilidades, CVE-2019-3464 y CVE-2019-3463, son lo suficientemente graves como para obtener una calificación CVSS de 9.8, lo que los convierte en críticas.
La última vulnerabilidad es la utilidad de shell restringido (rssh) que permite la carga de archivos a las unidades de Valleylab. El uso de una versión no parcheada podría proporcionarle al atacante acceso como administrador y la capacidad de ejecutar código.
Según la alerta, es necesario que el acceso a la red esté habilitado para que esto suceda, algo que pasa a menudo, presumiblemente para la administración remota, lo que brinda a los atacantes una forma de acceder a los dispositivos vulnerables.
Un tercer defecto, CVE-2019-13539, es causado por un hash de contraseña inseguro (es decir, reversible), generado por descrypt, que se puede extraer del dispositivo gracias a las otras vulnerabilidades mencionadas en la advertencia.
El cuarto defecto, CVE-2019-13543, afecta a Medtronic Valleylab Exchange Client versión 3.4 y siguientes, es causado por credenciales codificadas.
Actualmente, los parches están disponibles para Valleylab FT10, mientras que el FX8 los recibirá a principios de 2020. Mientras tanto:
Medtronic recomienda desconectar los productos afectados de las redes IP o segregar esas redes, de modo que no se pueda acceder a los dispositivos desde una red no confiable (por ejemplo, Internet).
No está claro quién descubrió las vulnerabilidades más recientes, aunque US-CERT dice que Medtronic le informó.
Si es así, ese es un paso en la dirección correcta después de que las alertas anteriores descubiertas por investigadores independientes que a veces lucharon por llamar la atención de la empresa.
Medtronic ha sufrido una serie de problemas de seguridad en sus productos en los últimos años, incluyendo un par de vulnerabilidades en sus desfibriladores de cardioversor implantable (ICD) en marzo y en sus marcapasos en 2018.
El último de ellos fue un punto bajo en el parcheo de equipos médicos después de que los investigadores usaron una sesión en el show de Black Hat para resaltar que el equipo era vulnerable a una vulnerabilidad de seguridad 18 meses después de que se informara a la empresa del problema.
En 2011, el investigador Barnaby Jack demostró una prueba de concepto contra una bomba de insulina de Medtronic que, según él, podría haber sido explotada para administrar una dosis fatal a un paciente.
Aunque las cosas han cambiado mucho desde entonces, las vulnerabilidades continúan surgiendo a intervalos regulares. Todavía queda mucho por hacer para limpiar los errores de la codificación de seguridad antiguos.
Dejar un comentario