Múltiples vulnerabilidades en productos de Siemens

Fecha de publicación: 
17/05/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • MAGNETOM MRI Systems, todas las versiones
  • Healthineers Multi-Modality Workplace (MMWP), todas las versiones
  • [Actualizado 18/05/2017] VERSANT kPCR Molecular System, todas las versiones
  • [Actualizado 18/05/2017] VERSANT kPCR Sample Prep, todas las versiones
  • [Actualizado 18/05/2017] Tissue Preparation System, todas las versiones
  • [Actualizado 18/05/2017] Mammomat Inspiration, todas las versiones
  • [Actualizado 18/05/2017] Mammomat Fusion, todas las versiones
  • [Actualizado 18/05/2017] syngo MammoReport, todas las versiones
  • [Actualizado 18/05/2017] Mammomat Novation, todas las versiones
  • [Actualizado 18/05/2017] AXIOM Aristos FX/MX/VX/TX, todas las versiones
  • [Actualizado 18/05/2017] MULTIX M, todas las versiones
  • [Actualizado 18/05/2017] MULTIX Swing mFD, todas las versiones
  • [Actualizado 18/05/2017] Mobilett XP digital, todas las versiones
  • [Actualizado 09/08/2017]Mobilett Mira Max, todas las versiones anteriores a la VE10S
  • [Actualizado 04/09/2017] Sistema de ultrasonido ACUSON S1000/S2000/S3000; En sus versiones VC30, VC31, VD10 y VE10A.

[Actualizado 09/08/2017] Puede consultar la lista completa de productos afectados en las referencias

Descripción: 

Siemens, desde su división Siemens Healthineers, ha sido conocedora de varias vulnerabilidades que afectan a productos del sector médico asociadas al uso de SMBv1 en sus sistemas operativos Windows. La explotación exitosa de las vulnerabilidades podría permitir a un atacante remoto la ejecución de código arbitrario o la divulgación de información.

Solución: 

[Actualización 16-06-2017] Siemens Healthineers está preparando una actualización para solucionar estas vulnerabilidades. Hasta su publicación,

[Actualización 16-06-2017] Los dispositivos que no disponen de los puertos 139/tcp, 445/tcp o 3389/tcp abiertos no están afectados.

[Actualización 16-06-2017] Siemens ha publicado una lista de productos que pueden ser parcheado seguiendo el boletín MS17-010 de Microsoft, entre los que se encuentran (para ver el listado completo consulte las referencias):

  • syngo.via: todas las versiones
  • syngo.via Frontier: todas las versiones
  • syngo.via ProtoNeo: todas las versiones
  • syngo.WebViewer: todas las versiones
  • syngo.Dynamics: todas las versiones
  • syngo.plaza: todas las versiones
  • syngo Imaging: todas las versiones en servidores y clientes syngo Studio Advanced
  • syngo Imaging XS: todas las versiones en servidores y clientes Reporting
  • syngo Workflow MLR: todas las versiones
  • syngo Workflow SLR: todas las versiones
  • teamplay; todas las versiones
  • Atellica Process Manager: todas las versiones
  • syngo Lab Inventory Manager: todas las versiones

[Actualización 09-08-2017] Siemens Healthineers ha publicado una actualización de software en la que soluciona dichas vulnerabilidades.

Para los clientes que tengan soporte remoto, la actualización será instalada automáticamente. Por el contrario, si no tienen soporte remoto, se recomienda contactar con el servicio técnico.

Siemens recomienda aislar los productos afectados que dispongan de los puertos 139/tcp, 445/tcp o 3389/tcp abiertos. Si esto no puede ser llevado acabo, entonces se recomienda:

  • Si la seguridad y el tratamiento del paciente no está en riesgo, desconectar el equipo de la red y funcionar en modo standalone.
  • Reconectar el equipo solo después de haber aplicado el parche o remedio en el sistema.

Además, Siemens Healthineers también recomienda:

  • Asegurarse de que se disponen de las correspondientes copias de respaldo y los procedimientos de restauración adecuados.
  • Contactar con el servicio local de Siemens Healthineers Customer Service Engineer o Regional Support Center para más información.

[Actualización 04-09-2017]La compañía Siemens recomienda no realizar la restauración del sistema a través de “backups” sin ayuda del servicio de atención al cliente.

Además, Siemens Healthineers recomienda aislar de la red el producto afectado o cerrar los puertos 139/tcp, 445/tcp y 3389/tcp del sistema.

Detalle: 

Las vulnerabilidaes identificadas son:

  • Ejecución de código arbitrario: Un potencial atacante remoto no autenticado en el sistema podría ejecutar código arbitrario utilizando una petición especialmente manipulada enviada al servidor SMB1 en el sistema Microsoft Windows afectado. Se han reservado los identificadores CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146 y CVE-2017-0148 para estas vulnerabilidades.
  • Divulgación de información: Un potencial atacante remoto autenticado en el sistema podría obtener información del servidor enviando una petición especialmente manipulada al servidor SMB1 en el sistema Microsoft Windows afectado. Se ha reservado el identificador CVE-2017-0147 para esta vulnerabilidad.