Miele promete atualização de segurança para desinfecção

Miele promete atualização de segurança para desinfecção

Duas das máquinas de limpeza e desinfecção afectada

(Foto: Miele)

Nos dispositivos de um servidor web totalmente inseguro notado. O relatório de erro de um consultores de segurança tinha sido ignorado por meses.

É uma das vulnerabilidades mais antigas: Como um consultor de segurança de TI Jens Regel examinou uma máquina médica fabricante Miele, ele se deparou com uma vulnerabilidade de passagem de diretório servidor Web - em outras palavras: o que podia com um simples comando telnet a todos os dados acessar o dispositivo, incluindo os arquivos de senha e ganhar o acesso total ao sistema.

Sem resposta por meses

Aqui seria a história pode ser terminado: Regra kontakierte em novembro o fabricante submetido detalhes sobre a vulnerabilidade de uma equipe competente. Então ele esperou por uma resposta - mas não se concretizaram. Também dupla exigência, Miele relataram não voltar. Normalmente publicada quatro meses após o contato inicial, portanto, os detalhes da vulnerabilidade para a lista de discussão Full Disclosure. Vários meios de comunicação pegou a história.

Agora o fabricante responder. A pedido do Heise on-line, a empresa admite um "alcance de comunicação" a. Não ficou claro por que ninguém respondeu ao bug. "Aqui, a gestão vê uma omissão grave, cujos elementos já estão cuidadosamente investigados para descartar o risco de recorrência." A empresa expressamente obrigado pelo denunciante. Atualmente é uma atualização nas obras, todos os clientes afetados iria ser contactado por Miele.

Atualização em andamento

os tipos de dispositivos PG 8528, PG 8527, PG 8535 e PG 8536, de que desde cerca de 2007 5800 cópias tinham sido vendidos são afectados, de acordo com Miele. Estes dispositivos são enviados com interfaces Ethernet que podem ser usados ​​para documentar a desinfecção. Assim, para as impressoras de equipamentos e scanners de código de barras ligar para documentar exatamente quando e como os regulamentos de higiene em instalações médicas foram suficientemente feito. mas os dados também podem ser enviados diretamente para a rede interna de uma clínica.

Miele enfatizou que anteriormente não tinha conhecimento de qualquer mau uso da lacuna. Além disso, isso abre nem dados de acesso de terceiros ou a outros dispositivos na rede do usuário. Afirmou-se que a vulnerabilidade também não "Porta de entrada para hackers"Porque os dispositivos afetados não tinha conexão autónoma para a Internet. Tem um atacante, mas uma vez o acesso à rede interna dá, ele pode usar esses dispositivos não garantidos como um trampolim para explorar as fraquezas em outros dispositivos.(Torsten Kleinz) /(ANW)