Múltiples vulnerabilidades en productos Dräger

Fecha de publicación 24/05/2021
Importancia
5 - Crítica
Recursos Afectados
  • X-Dock, todas las versiones anteriores a la 03.00.13;
  • Atlan A350, todas las versiones desde la 1.00 a la 1.01 (inclusive).
Descripción

Se han reportado 2 vulnerabilidades de severidad crítica por parte de ZDI y otra de severidad media, que podrían permitir a un atacante remoto ejecutar código arbitrario o causar una condición de denegación de servicio.

Solución
  • Para X-Dock está disponible una actualización a la versión 03.00.13 u otra posterior. Como medidas de mitigación, se aconseja desconectar los equipos afectados de la red y recurrir a la exportación por USB, en caso de necesitar transferir datos.
  • Para Atlan A350 estará disponible un parche en la actualización SW 2.0. Dragër se pondrá en contacto con el cliente para concretar la fecha de actualización.
Detalle
  • Una explotación conjunta de una vulnerabilidad de credenciales embebidas y un active debug code en un puerto de depuración no utilizado podrían permitir a un atacante, remoto y autenticado, ejecutar código arbitrario en el sistema. Se han asignado los identificadores CVE-2021-28111 y CVE-2021-28112 para estas vulnerabilidades de severidad crítica.
  • Una vulnerabilidad de validación incorrecta de los datos de entrada en la interfaz Medibus podría permitir a un atacante causar una condición de denegación de servicio, tanto para conexiones RS-232 punto a punto como para conexiones RS-232 enrutadas a través de Ethernet.

Encuesta valoración

Listado de referencias
Dräger Product Security Advisory PSA-21-120-1
Dräger X-dock Use of Hard-coded Credentials Remote Code Execution Vulnerability ZDI-21-604
Dräger Product Security Advisory PSA-21-124-1
Etiquetas