Diagnostics Product Cyber Security

Advertencia de seguridad del producto

Cómo realizar la notificación (a los clientes de Roche)

Si eres un cliente de Roche o representas al mismo, informa a tu filial local de Roche Diagnostics responsable sobre los problemas del producto, incluidas las posibles vulnerabilidades de seguridad cinética, para garantizar la gestión y el procesamientos adecuados de las quejas de acuerdo con su contrato de servicio.

 

Cómo realizar la notificación (a los investigadores de seguridad y otros buscadores de vulnerabilidades)

Si deseas notificar una posible vulnerabilidad de seguridad cinética en un producto o servicio de Roche Diagnostics, ponte en contacto con nosotros en la dirección de correo electrónico [email protected].

Advertencia de seguridad del producto y archivo

Advertencia de seguridad del producto y archivo

Fecha de publicación: 27-09-2019

Última actualización: 27-09-2019

 

Resumen ejecutivo

Roche es consciente de un conjunto de vulnerabilidades de seguridad dentro de varios sistemas operativos en tiempo real (real-time operating systems, RTOS), incluido Wind River’s VxWorks RTOS - que fueron divulgados recientemente por investigadores de seguridad de Armis. Estas vulnerabilidades, comúnmente denominadas URGENTE/11, afectan a la pila TCP/IP de múltiples RTOS y podrían conducir a la ejecución remota de código, lo que podría permitir que un atacante se hiciese cargo de un sistema sin interactuar con el usuario.

Como parte de nuestras políticas de seguridad de productos, Roche Diagnostics ha evaluado nuestros productos para detectar posibles impactos de estas vulnerabilidades y ha determinado que no se requieren acciones para nuestros productos.

Como medida de seguridad general, Roche recomienda encarecidamente controlar minuciosamente el acceso a la red a los dispositivos con los mecanismos adecuados, incluido el cortafuegos de Roche. Recomendamos encarecidamente configurar el entorno operativo de acuerdo con las pautas de instalación de Roche y seguir las recomendaciones de los manuales del producto.

 

 

Productos afectados

Nuestra revisión ha identificado un conjunto limitado de productos de Roche Diagnostics (analizadores y sistemas IVD) que utilizan el sistema operativo VxWorks. Estos se dividen en dos categorías:

  1. Productos conectados que no incluyan versiones vulnerables de VxWorks 
  2. Productos sin conexión que puedan utilizar versiones vulnerables de VxWorks pero que no corran riesgo, ya que no están conectados a la red

Ninguno de estos productos presenta las vulnerabilidades o corre riesgo.

 

Impacto potencial

Nuestra evaluación actual de las vulnerabilidades notificadas es que los productos de Roche Diagnostics no se ven afectados directamente por el conjunto de vulnerabilidades URGENTE/11. Si bien existe cierto uso de versiones vulnerables de VxWorks, estos productos se ejecutan en unidades aisladas sin conectividad de red del cliente y, por lo tanto, no corren riesgo. Los productos de Roche Diagnostics utilizan un cortafuegos que no se basa en VxWorks y, por lo tanto, no es susceptible a las vulnerabilidades URGENTE/11.

Para obtener más información o para cualquier consulta, póngase en contacto con su oficina local de Roche Diagnostics.

 

Mitigaciones / Soluciones alternativas

No se requieren mitigaciones ni soluciones alternativas para estas vulnerabilidades.

Para obtener más información o para cualquier consulta, póngase en contacto con su oficina local de Roche Diagnostics.

 

 

 

Datos de contacto

Clientes de Roche

Póngase en contacto con su oficina local de Roche Diagnostics

 

Investigadores de seguridad

Para asuntos de seguridad relacionados con productos de diagnóstico, póngase en contacto con [email protected]

Para asuntos generales de seguridad relacionados con Roche, póngase en contacto con [email protected]