Falla en sistemas de Philips permite modificar un ultrasonido en tiempo real de forma remota

Un grupo de especialistas de un curso de ingeniería inversa reporta el hallazgo de una vulnerabilidad en múltiples sistemas de ultrasonido desarrollados por la firma tecnológica Philips. Acorde al reporte, la explotación exitosa de esta falla permitiría a los actores de amenazas alterar el funcionamiento de estos dispositivos.

La vulnerabilidad, identificada como CVE-2020-14477,  permitiría a los actores de amenazas emplear una ruta o canal alternativo para eludir el mecanismo de inicio de sesión del sistema afectado. Una vez dentro del sistema, los hackers maliciosos podrían ver o modificar la información almacenada. Dado que estos sistemas son ampliamente utilizados por la industria de los servicios hospitalarios en todo el mundo, este es un riesgo considerable.

Esta falla recibió un puntaje de 3.6/10 según el Common Vulnerability Scoring System (CVSS), por lo que se le considera un error de baja gravedad, mencionan los expertos del curso de ingeniería inversa.

La vulnerabilidad fue identificada en los siguientes sistemas de ultrasonido Philips:

  • Ultrasound ClearVue, versiones 3.2 y anteriores
  • Ultrasound CX, versiones 5.0.2 y anteriores
  • Ultrasound EPIQ/Affiniti versiones VM5.0 y anteriores
  • Ultrasound Sparq, versión 3.0.2 y anteriores
  • Ultrasound Xperius, todas las versiones

Para mitigar el riesgo de explotación de forma provisional, los expertos del curso de ingeniería inversa recomiendan a los usuarios emplear sistemas cuya integridad sea garantizada por el fabricante o proveedores de servicios. Los administradores de sistemas vulnerables con dudas sobre las formas de mitigación de estas fallas pueden consultar directamente a la compañía.

Además, el Instituto Internacional de Seguridad Cibernética (IICS) recomienda a los usuarios implementar algunas medidas adicionales mientras la compañía lanza las actualizaciones correspondientes. Entre las recomendaciones se encuentran:

  • Implementar medidas de seguridad física para limitar o controlar el acceso a sistemas críticos
  • Restringir el acceso al sistema solo al personal autorizado y adaptarse a un enfoque de privilegios mínimos
  • Aplicar estrategias de defensa en profundidad
  • Deshabilitar cuentas y servicios innecesario.
  • Cuando se requiere de información adicional, consultar los lineamientos de seguridad cibernética emitidos por autoridades como la FDA

Hasta el momento no se han detectado intentos de explotación en escenarios reales, o bien la existencia de alguna variante de malware para desencadenar el ataque, aunque esto podría cambiar en las próximas semanas si el fabricante no lanza las actualizaciones requeridas.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.