3 fallas día cero en Philips SureSigns; los ciberdelincuentes pueden controlar su monitor de signos vitales

Especialistas en análisis de vulnerabilidades reportan el hallazgo de tres fallas en SureSigns V4, un monitor de signos vitales desarrollado por la compañía tecnológica Philips. Acorde al reporte, la explotación de estas fallas permitiría a los actores de amenazas evadir algunos controles de seguridad, accediendo a controles administrativos y configuraciones del sistema, lo que incluso pondría en riesgo la integridad física de algunos pacientes.

El equipo de seguridad de la Clínica Cleveland presentó el reporte de la falla a Philips y a la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA).  

A continuación se presentan breves reseñas de las fallas reportadas, además de sus respectivas claves de identificación y puntajes según el Common Vulnerability Scoring System (CVSS).

CVE-2020-16237: El producto afectado recibe entrada o datos, pero no valida (o bien lo hace de forma incorrecta) que la entrada tenga las propiedades requeridas para procesar los datos de forma segura. La falla recibió un puntaje de 2.1/10, por lo que se le considera de bajo riesgo de seguridad.

CVE-2020-16241: el software no restringe el acceso a los recursos no autorizados para usuarios sin privilegios, lo que permitiría a los hackers maliciosos comprometer un dispositivo fácilmente, mencionan los especialistas en análisis de vulnerabilidades. La falla recibió un puntaje de 6.5/10.

CVE-2020-16239: cuando un usuario afirma tener una identidad determinada, el software no prueba o prueba de manera insuficiente que la afirmación es correcta, exponiendo el sistema vulnerable al alcance de cualquier actor de amenazas. Esta vulnerabilidad recibió un puntaje de 4/10.

Si bien los especialistas en análisis de vulnerabilidades mencionan que estas fallas no son un riesgo crítico, los administradores no deben hacer caso omiso a las alertas de seguridad, pues estos equipos son empleados en prácticamente todos los hospitales del mundo, por lo que el alcance de un potencial ataque es masivo.

Para mitigar el riesgo de explotación, Philips recomienda a sus usuarios restablecer todas las contraseñas en el sistema SureSigns V4, además de restringir cualquier acceso no autorizado o no requerido a estos sistemas.   

Por otra parte, CISA recomienda implementar medidas adicionales como la restricción del acceso físico a estos dispositivos o el uso de cuentas con privilegios mínimos para operar los sistemas de salud críticos.