Fecha de publicación: 27-09-2019
Última actualización: 27-09-2019
Resumen ejecutivo
Roche es consciente de un conjunto de vulnerabilidades de seguridad dentro de varios sistemas operativos en tiempo real (real-time operating systems, RTOS), incluido Wind River’s VxWorks RTOS - que fueron divulgados recientemente por investigadores de seguridad de Armis. Estas vulnerabilidades, comúnmente denominadas URGENTE/11, afectan a la pila TCP/IP de múltiples RTOS y podrían conducir a la ejecución remota de código, lo que podría permitir que un atacante se hiciese cargo de un sistema sin interactuar con el usuario.
Como parte de nuestras políticas de seguridad de productos, Roche Diagnostics ha evaluado nuestros productos para detectar posibles impactos de estas vulnerabilidades y ha determinado que no se requieren acciones para nuestros productos.
Como medida de seguridad general, Roche recomienda encarecidamente controlar minuciosamente el acceso a la red a los dispositivos con los mecanismos adecuados, incluido el cortafuegos de Roche. Recomendamos encarecidamente configurar el entorno operativo de acuerdo con las pautas de instalación de Roche y seguir las recomendaciones de los manuales del producto.
Productos afectados
Nuestra revisión ha identificado un conjunto limitado de productos de Roche Diagnostics (analizadores y sistemas IVD) que utilizan el sistema operativo VxWorks. Estos se dividen en dos categorías:
- Productos conectados que no incluyan versiones vulnerables de VxWorks
- Productos sin conexión que puedan utilizar versiones vulnerables de VxWorks pero que no corran riesgo, ya que no están conectados a la red
Ninguno de estos productos presenta las vulnerabilidades o corre riesgo.
Impacto potencial
Nuestra evaluación actual de las vulnerabilidades notificadas es que los productos de Roche Diagnostics no se ven afectados directamente por el conjunto de vulnerabilidades URGENTE/11. Si bien existe cierto uso de versiones vulnerables de VxWorks, estos productos se ejecutan en unidades aisladas sin conectividad de red del cliente y, por lo tanto, no corren riesgo. Los productos de Roche Diagnostics utilizan un cortafuegos que no se basa en VxWorks y, por lo tanto, no es susceptible a las vulnerabilidades URGENTE/11.
Para obtener más información o para cualquier consulta, póngase en contacto con su oficina local de Roche Diagnostics.
Mitigaciones / Soluciones alternativas
No se requieren mitigaciones ni soluciones alternativas para estas vulnerabilidades.
Para obtener más información o para cualquier consulta, póngase en contacto con su oficina local de Roche Diagnostics.
Datos de contacto
Clientes de Roche
Póngase en contacto con su oficina local de Roche Diagnostics
Investigadores de seguridad
Para asuntos de seguridad relacionados con productos de diagnóstico, póngase en contacto con [email protected]
Para asuntos generales de seguridad relacionados con Roche, póngase en contacto con [email protected]