Facebook Instagram Linkedin

C/ Zaplana, 11 - Entlo. Yecla, Murcia (30510)

info@techconsulting.es

Múltiples vulnerabilidades en productos de B. Braun

In Noticias y Avisos CiberseguridadPosted

Fecha de publicación: 22/10/2021

Importancia:
Crítica

Recursos afectados:

  • En Estados Unidos y Canadá:
    • Battery-Pack SP con Wi-Fi, versiones de software 028U000061 y anteriores, que se hayan instalado en una bomba de infusión Infusomat Space o Perfusor Space;
    • SpaceStation con SpaceCom 2, versiones de software 012U000061 y anteriores.
  • Fuera de Estados Unidos y Canadá:
    • Battery-Pack SP con Wi-Fi, versiones de software L81 y anteriores, que se hayan instalado en una bomba de infusión Perfusor Space, Infusomat Space o Infusomat Space P;
    • SpaceStation con SpaceCom 2, versiones de software L81 y anteriores;
    • módulo de datos compactPlus, versiones de software A10 y A11, que se hayan instalado en una bomba de infusión Perfusor compactPlus, Infusomat compactPlus o Infusomat P compactPlus.

Descripción:

Douglas McKee y Philippe Laulheret, investigadores de McAfee, han reportado 5 vulnerabilidades, 1 de severidad crítica y 4 medias, cuya explotación podría permitir a un atacante, remoto y no autenticado, obtener acceso a la línea de comandos a nivel de usuario, enviar al dispositivo datos maliciosos para ser utilizados en lugar de los datos correctos, reconfigurar el dispositivo desde una fuente desconocida, obtener información sensible o sobrescribir archivos críticos.

Solución:

  • En Estados Unidos y Canadá (más información aquí):
    • Battery-Pack SP con Wi-Fi, versión de software 028U00062 (SN 138852 y anteriores);
    • Battery-Pack SP con Wi-Fi, versión de software 054U00091 (SN 138853 y posteriores);
    • SpaceStation con SpaceCom 2, versión de software 012U000083.
  • Fuera de Estados Unidos y Canadá (más información aquí):
    • Battery-Pack SP con Wi-Fi, versión de software 053L00091 (SN 138853 y posteriores);
    • SpaceStation con SpaceCom 2, versión de software 011L000083.

Detalle:

  • Una verificación insuficiente de la autenticidad de los datos podría permitir que un atacante, remoto y no autenticado, enviase al dispositivo datos maliciosos que se utilizarán en lugar de los datos correctos. Esto daría lugar a un acceso y ejecución de comandos en todo el sistema debido a la falta de firmas criptográficas en los conjuntos de datos críticos. Se ha asignado el identificador CVE-2021-33885 para esta vulnerabilidad crítica.

Para el resto de vulnerabilidades medias se han asignado los identificadores: CVE-2021-33886, CVE-2021-33882, CVE-2021-33883 y CVE-2021-33884.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, Sanidad, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Related Posts

Conversión de tipo incorrecto en OFFIS DCMTK
Múltiples vulnerabilidades en uAMQP de Azure
Cross-Site Scripting en la aplicación Holded
Inyección de comandos en productos Cisco