Múltiples vulnerabilidades en el sistema de monitorización de constantes vitales Philips IntelliView MX40

Fecha de publicación: 
13/09/2017
Importancia: 
4 - Alta
Recursos afectados: 
  • IntelliVue MX40 Patient Worn Monitor (sólo en conexiones WLAN) en versiones anteriores a la B.06.18

Las vulnerabilidades sólo afectan a los monitores WLAN MX40 que funcionan con una LAN inalámbrica 802.11. Los monitores MX40 con radios Smart-Hopping de 1,4 GHz y 2,4 GHz no se ven afectados.

Descripción: 

Philips ha identificado dos vulnerabilidades en sistema de monitorización de constantes vitales IntelliView MX40 para su uso con redes de área local inalámbricas (WLAN). La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar comandos de administración Wi-Fi 802.11 que pueden afectar a la comunicación entre dicho sistema de monitoreo y la estación central donde llegan los avisos al personal médico.

Solución: 

Philips ha desarrollado una actualización de software, la versión B.06.18, que corrige la vulneravilidad de eliminación incorrecta de excepciones y proporciona medidas de mitigación para la vulnerabilidad de gestión errónea de condiciones excepcionales. Philips contempla publicar una actualización de software adicional en 2017 para corregir la vulnerabilidad no solucionada.

Para obtener más información puedes contactar con Philips a través del siguiente enlace: Customer Service Solutions

Detalle: 
  • Eliminación incorrecta de excepciones: en determinadas condiciones de red 802.11, es posible una re-asociación parcial del sistema de monitorización WLAN MX40 a la estación central de monitoreo. En esta situación, la estación de monitorización central puede indicar que el MX40 no está conectado o asociado al monitor central y, por lo tanto, debería funcionar en modo de monitorización local (audio local encendido, pantalla encendida), pero la propia WLAN MX40 puede seguir funcionando en modo de telemetría (audio local apagado, pantalla apagada). Si un paciente experimenta un evento de alarma y el personal clínico espera que el MX40 funcione en modo local y se produce este error, puede producirse un retraso en el tratamiento.
  • Gestión errónea de condiciones excepcionales: se ha determinado que algunos mensajes de gestión de red 802.11 activan la lista negra del punto de acceso inalámbrico cuando no es necesario, lo que puede requerir la intervención del personal del hospital para restablecer el dispositivo así como la conexión de red al punto de acceso Wi-Fi. Durante este estado, el MX40 puede conectarse a un punto de acceso alternativo dentro del rango de señal para asociarlo a una estación central de monitoreo, o puede permanecer en modo de monitoreo local hasta que el personal del hospital resetee el dispositivo.