[Actualización 21/10/2022] Múltiples vulnerabilidades en productos de B. Braun
Fecha de publicación 22/10/2021
Importancia
5 - Crítica
Recursos Afectados
- En Estados Unidos y Canadá:
- Battery-Pack SP con Wi-Fi, versiones de software 028U000061 y anteriores, que se hayan instalado en una bomba de infusión Infusomat Space o Perfusor Space;
- SpaceStation con SpaceCom 2, versiones de software 012U000061 y anteriores.
- Fuera de Estados Unidos y Canadá:
- Battery-Pack SP con Wi-Fi, versiones de software L81 y anteriores, que se hayan instalado en una bomba de infusión Perfusor Space, Infusomat Space o Infusomat Space P;
- SpaceStation con SpaceCom 2, versiones de software L81 y anteriores;
- módulo de datos compactPlus, versiones de software A10 y A11, que se hayan instalado en una bomba de infusión Perfusor compactPlus, Infusomat compactPlus o Infusomat P compactPlus.
Descripción
Douglas McKee y Philippe Laulheret, investigadores de McAfee, han reportado 5 vulnerabilidades, 1 de severidad crítica y 4 medias, cuya explotación podría permitir a un atacante, remoto y no autenticado, obtener acceso a la línea de comandos a nivel de usuario, enviar al dispositivo datos maliciosos para ser utilizados en lugar de los datos correctos, reconfigurar el dispositivo desde una fuente desconocida, obtener información sensible o sobrescribir archivos críticos.
Solución
[Actualización 21/10/2022]
- En Estados Unidos y Canadá (más información aquí):
- Battery-Pack SP con Wi-Fi, versión de software 028U00093 (SN 138852 y anteriores) y 054U00093 (SN 138853 y posteriores);
- SpaceStation con SpaceCom 2, versión de software 012U000093.
- Fuera de Estados Unidos y Canadá:
- Battery-Pack SP con Wi-Fi, versión de software 027L000093 (SN 138853 y anteriores) y 053L00093 (SN138853 y posteriores);
- SpaceStation con SpaceCom 2, versión de software 011L000093.
Detalle
- Una verificación insuficiente de la autenticidad de los datos podría permitir que un atacante, remoto y no autenticado, enviase al dispositivo datos maliciosos que se utilizarán en lugar de los datos correctos. Esto daría lugar a un acceso y ejecución de comandos en todo el sistema debido a la falta de firmas criptográficas en los conjuntos de datos críticos. Se ha asignado el identificador CVE-2021-33885 para esta vulnerabilidad crítica.
Para el resto de vulnerabilidades medias se han asignado los identificadores: CVE-2021-33886, CVE-2021-33882, CVE-2021-33883 y CVE-2021-33884.
Listado de referencias
Etiquetas