Múltiples vulnerabilidades en Agilia Connect Infusion System de Fresenius Kabi

Fecha de publicación: 22/12/2021

Importancia:
Alta

Recursos afectados:

• Módulo Wi-Fi Agilia Connect de las bombas vD25 y anteriores;
• Agilia Link+ v3.0 D15 y anteriores;
• Vigilant Software Suite v1.0: Vigilant Centerium, Vigilant MasterMed y Vigilant Insight;
• Software de mantenimiento Agilia Partner v3.3.0 y anteriores.

Descripción:

Diversos investigadores han notificado 13 vulnerabilidades al BSI (Oficina Federal de Seguridad de la Información de Alemania): 6 con severidad alta y 7 medias. Un atacante podría explotarlas y realizar acciones como el consumo incontrolado de recursos, uso de un algoritmo criptográfico no seguro, credenciales insuficientemente protegidas, control de acceso inadecuado, almacenamiento en texto plano de una contraseña, archivos o directorios accesibles a partes externas, exposición de información a través de listas de directorios, XSS, inyección, uso de credenciales codificadas, utilización de autenticación del lado del cliente y uso de componentes de terceros no mantenidos.

Solución:

Actualizar a las siguientes versiones:

• Link+ v3.0 D16 o posteriores;
• VSS v1.0.3 o posteriores;
• Agilia Connect Pumps Wifi Module D29 o posteriores;
• Agilia Connect Partner v3.3.2 o posteriores.

Detalle:

• Las solicitudes podrían ser utilizadas para interrumpir el funcionamiento normal del dispositivo. Cuando se explota, Agilia Link+ debe ser reiniciado mediante un hard reset, activado al pulsar un botón en el sistema de rack. Se ha asignado el identificador CVE-2021-23236 para esta vulnerabilidad alta.
• La interfaz de gestión de Agilia Link+ no aplica el cifrado de la capa de transporte. Por lo tanto, los datos transmitidos podrían ser enviados en texto claro. El cifrado de la capa de transporte se ofrece en el puerto TCP/443, pero el servicio afectado no realiza una redirección automática del servicio no cifrado en el puerto TCP/80 al servicio cifrado. Se ha asignado el identificador CVE-2021-41835 para esta vulnerabilidad alta.
• La aplicación web en Agilia Link+ implementa los mecanismos de autenticación y gestión de sesiones exclusivamente en el lado del cliente y no protege suficientemente los atributos de autenticación. Se ha asignado el identificador CVE-2021-23196 para esta vulnerabilidad alta.
• Se podría acceder a los endpoints sensibles sin ninguna información de autenticación, como la cookie de sesión. Un atacante podría enviar solicitudes a endpoints sensibles como un usuario no autenticado para realizar acciones críticas en Agilia Link+ o modificar parámetros de configuración críticos. Se ha asignado el identificador CVE-2021-23233 para esta vulnerabilidad alta.
• La aplicación Vigilant MasterMed podría permitir la validación de la entrada del usuario en el lado del cliente sin autenticación por parte del servidor. El servidor no debe confiar en la corrección de los datos porque los usuarios podrían no soportar o bloquear JavaScript, así como eludir intencionadamente los controles del lado del cliente. Un atacante con conocimiento del usuario del servicio podría eludir el control del lado del cliente e iniciar sesión con privilegios del servicio. Se ha asignado el identificador CVE-2021-43355 para esta vulnerabilidad alta.
• El sistema afectado utiliza la biblioteca ExpertPdf y el servidor web lighttpd, que están desactualizados. El software desactualizado podría contener vulnerabilidades no conocidas públicamente, pero que fuesen objeto de ingeniería inversa por parte de un atacante. Se ha asignado el identificador CVE-2020-35340 para esta vulnerabilidad alta.

Para el resto de vulnerabilidades bajas se han asignado los identificadores: CVE-2021-31562, CVE-2021-23207, CVE-2021-33843, CVE-2021-23195, CVE-2021-33848, CVE-2021-44464 y CVE-2021-33846.

Etiquetas:
Actualización, Infraestructuras críticas, Sanidad, Vulnerabilidad