Fecha de publicaciĂłn: 01/06/2022
Importancia:
Alta
Recursos afectados:
- BD Pyxis ES Anesthesia Station,
- BD Pyxis CIISafe,
- BD Pyxis Logistics,
- BD Pyxis MedBank,
- BD Pyxis MedStation 4000,
- BD Pyxis MedStation ES,
- BD Pyxis MedStation ES Server,
- BD Pyxis ParAssist,
- BD Pyxis Rapid Rx,
- BD Pyxis StockStation,
- BD Pyxis SupplyCenter,
- BD Pyxis SupplyRoller,
- BD Pyxis SupplyStation,
- BD Pyxis SupplyStation EC,
- BD Pyxis SupplyStation RF auxiliar,
- BD Rowa Pouch Packaging Systems,
- BD Synapsys, versiones 4.20, 4.20 SR1 y 4.30.
DescripciĂłn:
BD ha reportado 2 vulnerabilidades, una de severidad alta y la otra media, que afectan a varios de sus productos, y cuya explotaciĂłn podrĂa permitir a un atacante acceder, modificar o eliminar informaciĂłn sanitaria electrĂłnica protegida (ePHI), informaciĂłn sanitaria protegida (PHI) e informaciĂłn personal identificable (PII).
SoluciĂłn:
- BD estĂĄ reforzando actualmente las capacidades de gestiĂłn de credenciales en los productos BD Pyxis. El personal de servicio estĂĄ trabajando con los usuarios cuyas credenciales de servidor(es) unido(s) al dominio requieren actualizaciones. BD estĂĄ probando una soluciĂłn de gestiĂłn de credenciales dirigida inicialmente a versiones especĂficas del producto BD Pyxis y que permitirĂĄ mejorar las prĂĄcticas de gestiĂłn de la autenticaciĂłn con credenciales especĂficas del sistema operativo local. Los cambios necesarios para la instalaciĂłn, la actualizaciĂłn o las aplicaciones se estĂĄn evaluando como soluciones.
- BD Synapsys v4.20 SR2 se lanzarå en junio de 2022 y corregirå esta vulnerabilidad. Los usuarios que reciban BD Synapsys v4.30 podrån actualizar a v5.10, que se espera que esté disponible en agosto de 2022.
Detalle:
- Algunos productos de BD Pyxis se instalaron con credenciales por defecto y un atacante podrĂa explotar esta vulnerabilidad para obtener acceso privilegiado al sistema de archivos subyacente y obtener acceso a ePHI u otra informaciĂłn sensible. Se ha asignado el identificador CVE-2022-22767 para esta vulnerabilidad alta.
- BD Synapsys es vulnerable debido a una caducidad de sesiĂłn insuficiente, lo que podrĂa permitir a un atacante realizar la modificaciĂłn de ePHI, PHI o PII. El resultado podrĂa causar un retraso o un tratamiento incorrecto. Se ha asignado el identificador CVE-2022-30277 para esta vulnerabilidad media.
Etiquetas:
ActualizaciĂłn, Infraestructuras crĂticas, Sanidad, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.