Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en productos mĂ©dicos Sigma y Baxter

In Noticias y Avisos CiberseguridadPosted

Fecha de publicaciĂłn: 09/09/2022

Importancia:
Media

Recursos afectados:

  • Sigma Spectrum v6.x, modelo 35700BAX;
  • Sigma Spectrum v8.x, modelo 35700BAX2;
  • Baxter Spectrum IQ (v9.x), modelo 35700BAX3;
  • Sigma Spectrum LVP v6.x Wireless Battery Modules v16, v16D38, v17, v17D19, desde la v20D29 hasta la v20D32 y desde la v22D24 hasta la v22D28;
  • Sigma Spectrum LVP v8.x Wireless Battery Modules v17, v17D19, desde la v20D29 hasta la v20D32 y desde la v22D24 hasta la v22D28;
  • Baxter Spectrum IQ LVP (v9.x) con Wireless Battery Modules, desde la v22D19 hasta la v22D28.

DescripciĂłn:

Deral Heiland, investigador principal de IoT en Rapid 7, informĂł de 4 vulnerabilidades a Baxter, 3 medias y una baja, que podrĂ­an permitir a un atacante la divulgaciĂłn de informaciĂłn, la denegaciĂłn del servicio o modificar los parĂĄmetros para que falle la conexiĂłn de red.

SoluciĂłn:

  • Las actualizaciones para el CVE-2022-26392 estĂĄn en proceso;
  • el CVE-2022-26393, estĂĄ solucionado en la versiĂłn 20D30 de WBM;
  • el CVE-2022-26390, estĂĄ solucionado en el resto de versiones de WBM;
  • para el CVE-2022-26390, prĂłximamente se incorporarĂĄn instrucciones en el manual ‘Spectrum Operator’s Manual’.

Puede consultar medidas de mitigaciĂłn adicionales en el apartado ‘Mitigations’ del aviso en la secciĂłn de ‘Referencias’.

Detalle:

  • Las credenciales de red y la informaciĂłn sanitaria del paciente (PHI), se almacena de forma no cifrada en los productos WBM Spectrum de Baxter. Un atacante con acceso fĂ­sico a un dispositivo, que conserve todos los datos y configuraciones, puede ser capaz de extraer informaciĂłn sensible. Se ha asignado el identificador CVE-2022-26390 para esta vulnerabilidad.
  • Un atacante podrĂ­a leer la memoria o acceder a informaciĂłn sensible o provocar una condiciĂłn de denegaciĂłn de servicio en los productos WBM de Baxter Spectrum, mediante el envĂ­o de mensajes especialmente diseñados a travĂ©s de la aplicaciĂłn. Se ha asignado el identificador CVE-2022-26393 para esta vulnerabilidad.
  • El WBM de Baxter Spectrum no realiza la autenticaciĂłn mutua con la puerta de enlace del servidor, lo que podrĂ­a permitir a un atacante realizar un ataque machine-in-the-middle que modifique los parĂĄmetros, haciendo que la conexiĂłn de red falle. Se ha asignado el identificador CVE-2022-26394 para esta vulnerabilidad.

Para la vulnerabilidad de severidad baja se ha asignado el identificador CVE-2022-26392.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, Sanidad, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.