Fecha de publicaciĂłn: 22/12/2021
Importancia:
Alta
Recursos afectados:
- MĂłdulo Wi-Fi Agilia Connect de las bombas vD25 y anteriores;
- Agilia Link+ v3.0 D15 y anteriores;
- Vigilant Software Suite v1.0: Vigilant Centerium, Vigilant MasterMed y Vigilant Insight;
- Software de mantenimiento Agilia Partner v3.3.0 y anteriores.
DescripciĂłn:
Diversos investigadores han notificado 13 vulnerabilidades al BSI (Oficina Federal de Seguridad de la InformaciĂłn de Alemania): 6 con severidad alta y 7 medias. Un atacante podrĂa explotarlas y realizar acciones como el consumo incontrolado de recursos, uso de un algoritmo criptogrĂĄfico no seguro, credenciales insuficientemente protegidas, control de acceso inadecuado, almacenamiento en texto plano de una contraseña, archivos o directorios accesibles a partes externas, exposiciĂłn de informaciĂłn a travĂ©s de listas de directorios, XSS, inyecciĂłn, uso de credenciales codificadas, utilizaciĂłn de autenticaciĂłn del lado del cliente y uso de componentes de terceros no mantenidos.
SoluciĂłn:
Actualizar a las siguientes versiones:
- Link+ v3.0 D16 o posteriores;
- VSS v1.0.3 o posteriores;
- Agilia Connect Pumps Wifi Module D29 o posteriores;
- Agilia Connect Partner v3.3.2 o posteriores.
Detalle:
- Las solicitudes podrĂan ser utilizadas para interrumpir el funcionamiento normal del dispositivo. Cuando se explota, Agilia Link+ debe ser reiniciado mediante un hard reset, activado al pulsar un botĂłn en el sistema de rack. Se ha asignado el identificador CVE-2021-23236 para esta vulnerabilidad alta.
- La interfaz de gestiĂłn de Agilia Link+ no aplica el cifrado de la capa de transporte. Por lo tanto, los datos transmitidos podrĂan ser enviados en texto claro. El cifrado de la capa de transporte se ofrece en el puerto TCP/443, pero el servicio afectado no realiza una redirecciĂłn automĂĄtica del servicio no cifrado en el puerto TCP/80 al servicio cifrado. Se ha asignado el identificador CVE-2021-41835 para esta vulnerabilidad alta.
- La aplicaciĂłn web en Agilia Link+ implementa los mecanismos de autenticaciĂłn y gestiĂłn de sesiones exclusivamente en el lado del cliente y no protege suficientemente los atributos de autenticaciĂłn. Se ha asignado el identificador CVE-2021-23196 para esta vulnerabilidad alta.
- Se podrĂa acceder a los endpoints sensibles sin ninguna informaciĂłn de autenticaciĂłn, como la cookie de sesiĂłn. Un atacante podrĂa enviar solicitudes a endpoints sensibles como un usuario no autenticado para realizar acciones crĂticas en Agilia Link+ o modificar parĂĄmetros de configuraciĂłn crĂticos. Se ha asignado el identificador CVE-2021-23233 para esta vulnerabilidad alta.
- La aplicaciĂłn Vigilant MasterMed podrĂa permitir la validaciĂłn de la entrada del usuario en el lado del cliente sin autenticaciĂłn por parte del servidor. El servidor no debe confiar en la correcciĂłn de los datos porque los usuarios podrĂan no soportar o bloquear JavaScript, asĂ como eludir intencionadamente los controles del lado del cliente. Un atacante con conocimiento del usuario del servicio podrĂa eludir el control del lado del cliente e iniciar sesiĂłn con privilegios del servicio. Se ha asignado el identificador CVE-2021-43355 para esta vulnerabilidad alta.
- El sistema afectado utiliza la biblioteca ExpertPdf y el servidor web lighttpd, que estĂĄn desactualizados. El software desactualizado podrĂa contener vulnerabilidades no conocidas pĂșblicamente, pero que fuesen objeto de ingenierĂa inversa por parte de un atacante. Se ha asignado el identificador CVE-2020-35340 para esta vulnerabilidad alta.
Para el resto de vulnerabilidades bajas se han asignado los identificadores: CVE-2021-31562, CVE-2021-23207, CVE-2021-33843, CVE-2021-23195, CVE-2021-33848, CVE-2021-44464 y CVE-2021-33846.
Etiquetas:
ActualizaciĂłn, Infraestructuras crĂticas, Sanidad, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.