Múltiples vulnerabilidades en varios productos de Baxter

Fecha de publicación 19/06/2020
Importancia
4 - Alta
Recursos Afectados
  • ExactaMix EM2400, versiones 1.10, 1.11, 1.13 y 1.14;
  • ExactaMix EM1200, versiones 1.1, 1.2, 1.4 y 1.5;
  • PrismaFlex, todas las versiones;
  • PrisMax, todas las versiones anteriores a 3.x;
  • Phoenix Hemodialysis Delivery System SW, versiones 3.36 y 3.40.
Descripción

Baxter ha reportado 11 vulnerabilidades a CISA, 6 con severidad alta y 5 medias, de tipo uso de credenciales en texto claro, transmisión de información sensible en texto claro, falta de cifrado de información sensible, control de acceso inadecuado, exposición de recursos a usuarios inadecuados, validación incorrecta de datos de entrada y autenticación inadecuada.

Solución
  • Los usuarios de ExactaMix EM 2400, versiones 1.10 y 1.11, y de ExactaMix EM1200, versiones 1.1 y 1.2, deben actualizar a ExactaMix 1.4 (EM1200) y ExactaMix 1.13 (EM2400);
  • actualizar PrismaFlex a la versión 8.2x o posteriores;
  • actualizar PrisMax a PrisMaxv3 con DCM (Digital Communication Module);
  • a mayores, Baxter recomienda aplicar a todos sus usuarios las medidas de mitigación especificadas en sus respectivos avisos.
Detalle
  • El uso de credenciales de cuenta administrativa en claro permitiría a un atacante con acceso no autorizado a los recursos del sistema, incluido el acceso para ejecutar software o para ver/modificar archivos, directorios o la configuración del sistema, consultar datos confidenciales, incluida la PHI. Se ha reservado el identificador CVE-2020-12016 para esta vulnerabilidad.
  • La utilización de mensajes de texto sin formato para comunicar información de pedidos, permitiría que un atacante accediese a la red y visualizase datos confidenciales, incluida la PHI. Se ha reservado el identificador CVE-2020-12008 para esta vulnerabilidad.
  • El almacenamiento de datos del dispositivo con información confidencial en una base de datos sin cifrar, podría permitir que un atacante con acceso a la red vea o modifique datos confidenciales, incluida la PHI. Se ha reservado el identificador CVE-2020-12032 para esta vulnerabilidad.
  • La validación incorrecta de datos de entrada a través del puerto SMBv1 podría afectar al flujo de control o al flujo de datos de un sistema, lo que permitiría a un atacante remoto obtener acceso no autorizado a información confidencial, crear condiciones de denegación de servicio (DoS) o ejecutar código arbitrario. Se ha asignado el identificador CVE-2017-0143 para esta vulnerabilidad.
  • Los dispositivos afectados no requieren autenticación cuando se configuran para enviar datos de tratamiento a un sistema PDMS o EMR. Esto podría permitir a un atacante modificar la información del estado del tratamiento. Se ha reservado el identificador CVE-2020-12035 para esta vulnerabilidad.
  • Un atacante con acceso a la red podría observar el tratamiento sensible y los datos de prescripción enviados entre el sistema Phoenix y la herramienta Exalis debido a la imposibilidad de cifrar los datos en tránsito, por ejemplo con TLS/SSL. Se ha reservado el identificador CVE-2020-12048 para esta vulnerabilidad.

Para las vulnerabilidades de severidad media, se han reservado los identificadores CVE-2020-12012, CVE-2020-12024, CVE-2020-12020, CVE-2020-12036 y CVE-2020-12037.

Encuesta valoración

Listado de referencias
ICS Medical Advisory (ICSMA-20-170-01) Baxter ExactaMix
ICS Medical Advisory (ICSMA-20-170-02) Baxter PrismaFlex and PrisMax
ICS Medical Advisory (ICSMA-20-170-03) Baxter Phoenix Hemodialysis Delivery System
Etiquetas