Múltiples vulnerabilidades en Alaris Gateway Workstation de BD (Becton, Dickinson and Company)

Fecha de publicación 14/06/2019
Importancia
5 - Crítica
Recursos Afectados
  • Alaris Gateway Workstation versiones 1.0.13, 1.1.3 Build 10, 1.1.3 MR Build 11, 1.1.5, 1.1.6, 1.2 Build 15 y 1.3.0 Build 14.
  • Adicionalmente, los siguientes productos en las versiones 2.3.6 y anteriores:
    • Alaris GS.
    • Alaris GH.
    • Alaris CC.
    • Alaris TIVA.
Descripción

El investigador Elad Luz, de CyberMDX, ha descubierto múltiples vulnerabilidades en las Alaris Gateway Workstation de BD (Becton, Dickinson and Company) que podrían permitir a un atacante remoto con acceso a la red, visualizar información sensible del dispositivo, editar configuraciones, ejecutar código remoto o causar una denegación de servicio.

Solución
  • Para la vulnerabilidad en Alaris Gateway Workstation:
    • Actualizar al último firmware, versión 1.3.2 o 1.6.1.
    • Controlar los accesos de los usuarios a la red donde se encuentra el producto afectado.
    • Aislar los sistemas que poseen el producto afectado frente a sistemas no legítimos.
  • Para la vulnerabilidad de carga de archivos peligrosos de la estación de trabajo Alaris Gateway:
    • Bloquear el protocolo SMB.
    • Segregar la red con el uso de VLAN.
    • Asegurarse de que sólo usuarios legítimos tienen acceso a la red.
Detalle
  • La interface de navegación que proporciona Alaris Gateway Workstation no gestiona de manera correcta los accesos a diferentes ficheros con información sensible. Un atacante con conocimiento de la IP de la Alaris, puede aprovechar esta vulnerabilidad para obtener información sobre las configuraciones de dicho dispositivo. Se ha asignado el identificador CVE-2019-10962 para esta vulnerabilidad
  • La aplicación no dispone de una restricción adecuada de los ficheros que pueden subirse al dispositivo durante una actualización de firmware. Esta vulnerabilidad permitiría a un atacante subir ficheros con contenido malicioso. Se ha asignado el identificador CVE-2019-10959 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Advisory (ICSMA-19-164-01) BD Alaris Gateway Workstation
Etiquetas