Graves vulnerabilidades en dispositivos médicos de Philips

Conocimientos avanzados en hacking no son necesarios para explotar la falla

Diversas vulnerabilidades de ejecución remota de códigos han sido encontradas en dispositivos de Philips diseñados para generar imágenes cardiovasculares, reportan expertos en ciberseguridad.

Según un aviso de seguridad del Equipo de Preparación para Emergencias Informáticas del Departamento de Seguridad Nacional de EU, la primera vulnerabilidad, rastreada como CVE-2018-14787, es una falla de gravedad alta que afecta a los productos IntelliSpace Cardiovascular y Xcelera IntelliSpace Cardiovascular (ISCV) de Philips.

El aviso menciona que la vulnerabilidad sólo requiere de “habilidad de hacking básicas” para ser explotada, y es causada por un manejo inapropiado.

En el software de ISCV versión 2.x o anterior y Xcelera versión 4.1 o anterior, un atacante es capaz de acceder a carpetas en el sistema que pudieran tener ejecutables que brinden al atacante autenticación para hacer sobreescrituras en el sistema. “La explotación exitosa de estas vulnerabilidades podría permitir a un atacante con acceso local y privilegios de usuarios al servidor de ISCV o Xcelera ejecutar código arbitrario”.

La segunda vulnerabilidad, CVE-2018-14789, afecta al sistema de ISCV versión 3.1 o anterior y Xcelera versión 4.1 o anterior. Las rutas de búsqueda no citadas permiten a los atacantes aumentar sus niveles de privilegio y ejecutar código arbitrario.

En un aviso de seguridad de Philips, se mencionó que los servidores para ISCV versión 2.x y anteriores y Xcelera de 3x a 4.x contienen 20 servicios de Windows cuyos ejecutables están presentes en una carpeta donde a los usuarios autenticados se les otorgan permisos de escritura. “Los servicios se ejecutan como una cuenta de administrador local o una cuenta de sistema local, y si un usuario reemplazara uno de los ejecutables por un programa diferente, ese programa también se ejecutaría con administrador local o permisos del sistema local”, mencionó la empresa.

En ISCV versión 3.x y anteriores y Xcelera 3.x a 4.x, hay 16 servicios de Windows vulnerables; los servicios se ejecutan con derechos de administrador local y pueden iniciarse con una clave de registro, ofreciendo potencialmente a un atacante una vía para colocar un ejecutable que concede derechos de administrador local.

Las vulnerabilidades no pueden ser explotadas de forma remota y no se han recibido informes que indiquen explotación en la naturaleza.

Las mitigaciones se aplicarán a través de un parche que será lanzado en octubre próximo. Mientras tanto, Philips dice que los usuarios deben restringir cuando sea posible los permisos disponibles.

Estados Unidos se toma muy en serio hasta la más mínima falla de seguridad en los dispositivos médicos. Existe el antecedente de la Administración de Alimentos y Fármacos (FDA) de EU, que en una ocasión anterior ordenó retirar 465 marcapasos de St. Jude para corregir errores, las vulnerabilidades halladas en dichos sistemas pueden causar ansiedad en los pacientes e incluso podrían dejar de funcionar por completo.

Especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética consideran que las recomendaciones de la FDA no deben pasar inadvertidas para los implicados en estos casos.