MĂșltiples vulnerabilidades en productos Becton, Dickinson and Company (BD)

Fecha de publicaciĂłn: 04/03/2022

Importancia:
Alta

Recursos afectados:

  • BD Pyxis:
    • Anesthesia Station ES;
    • Anesthesia Station 4000;
    • CATO;
    • CIISafe;
    • Inventory Connect;
    • IV Prep;
    • JITrBUD;
    • KanBan RF;
    • Logistics;
    • Med Link Family;
    • MedBank;
    • MedStation 4000;
    • MedStation ES;
    • MedStation ES Server;
    • ParAssist;
    • PharmoPack;
    • ProcedureStation (incluyendo EC);
    • Rapid Rx;
    • StockStation;
    • SupplyCenter;
    • SupplyRoller;
    • SupplyStation (incluyendo RF, EC y CP);
    • Track y Deliver.
  • BD Rowa Pouch Packaging Systems.
  • BD Viper LT system. versiĂłn 2.0 y posteriores.

DescripciĂłn:

BD ha reportado 2 vulnerabilidades de severidad alta al CISA cuya explotaciĂłn podrĂ­a permitir a un atacante acceder, modificar o eliminar informaciĂłn sanitaria electrĂłnica protegida (ePHI) u otra informaciĂłn sensible.

SoluciĂłn:

BD estĂĄ en proceso de reforzar las capacidades de gestiĂłn de credenciales en los dispositivos BD Pyxis. AdemĂĄs, el fabricante estĂĄ trabajando para corregir la vulnerabilidad en el sistema BD Viper LT y espera que la soluciĂłn se incluya en la prĂłxima versiĂłn 4.80 del producto.

Para mĂĄs informaciĂłn, consultar los boletines de seguridad de Pyxis y Viper LT.

Detalle:

  • El producto afectado es vulnerable debido al uso de credenciales codificadas en texto claro, lo que podrĂ­a permitir a un atacante obtener acceso al sistema de archivos subyacente y explotar los archivos de la aplicaciĂłn para obtener informaciĂłn que podrĂ­a utilizarse para descifrar las credenciales de la aplicaciĂłn u obtener acceso a la informaciĂłn sanitaria electrĂłnica protegida (ePHI) u otra informaciĂłn sensible. Se ha asignado el identificador CVE-2022-22766 para esta vulnerabilidad.
  • El producto afectado es vulnerable debido al uso de credenciales codificadas en texto claro, lo que podrĂ­a permitir a un atacante acceder, modificar o eliminar informaciĂłn sensible, incluyendo la informaciĂłn de salud electrĂłnica protegida (ePHI), la informaciĂłn de salud protegida (PHI) y la informaciĂłn de identificaciĂłn personal (PII). Se ha asignado el identificador CVE-2022-22765 para esta vulnerabilidad.

Encuesta valoraciĂłn

Etiquetas:
Infraestructuras crĂ­ticas, Sanidad, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.