Vulnerabilidad de Philips DreamMapper permite hackear la forma en que duermes

Especialistas en seguridad de la información reportan el hallazgo de una vulnerabilidad en DreamMapper, un sistema de monitoreo desarrollado por Philips que sirve como auxiliar en el tratamiento de la apnea del sueño. Acorde al reporte, la explotación exitosa de esta falla permitiría a los actores de amenazas acceder a la información del archivo de registro que contiene mensajes de error descriptivos.

Este sistema es empleado por organizaciones para la salud, ya sean públicas o privadas, en todas partes del mundo, por lo que la posible explotación de esta falla es un riesgo que los gobiernos y agencias de ciberseguridad deben considerar seriamente.

Identificada como CVE-2020-14518, esta es una falla de ingreso de información escrita en los archivos de registro que puede conducir a ataques posteriores. La falla recibió un puntaje de 5.3/10 según el Common Vulnerability Scoring System (CVSS), mencionan los especialistas en seguridad de la información.

El reporte estuvo a cargo de Lutz Weimann, Tim Hirschberg, Issam Hbib y Florian Mommertz de SRC Security Research & Consulting GmbH, con sede en Alemania.

En respuesta al reporte, Philips anunció el lanzamiento de una nueva versión de DreamMapper. La compañía con sede en Países Bajos asegura que la versión corregida de este software estará lista en cuestión de unos pocos meses. Mientras las actualizaciones están listas, expertos en seguridad de la información recomiendan a los usuarios implementar las siguientes medidas para mitigar el riesgo de explotación

  • Configurar medidas de seguridad física para limitar el acceso a sistemas críticos
  • Restringir el acceso al sistema solo al personal autorizado, apegándose a una política de privilegios mínimos
  • Aplicar estrategias de defensa en profundidad
  • Deshabilitar cuentas y servicios innecesarios o con altos privilegios

Los usuarios también pueden contactar a los servicios de soporte de Philips para solicitar información adicional. La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) también solicita a los usuarios implementar las medidas de seguridad necesarias para prevenir cualquier actividad maliciosa en sus sistemas.