MĂșltiples vulnerabilidades en productos BD (Becton, Dickinson and Company)

Fecha de publicaciĂłn: 01/06/2022

Importancia:
Alta

Recursos afectados:

  • BD Pyxis ES Anesthesia Station,
  • BD Pyxis CIISafe,
  • BD Pyxis Logistics,
  • BD Pyxis MedBank,
  • BD Pyxis MedStation 4000,
  • BD Pyxis MedStation ES,
  • BD Pyxis MedStation ES Server,
  • BD Pyxis ParAssist,
  • BD Pyxis Rapid Rx,
  • BD Pyxis StockStation,
  • BD Pyxis SupplyCenter,
  • BD Pyxis SupplyRoller,
  • BD Pyxis SupplyStation,
  • BD Pyxis SupplyStation EC,
  • BD Pyxis SupplyStation RF auxiliar,
  • BD Rowa Pouch Packaging Systems,
  • BD Synapsys, versiones 4.20, 4.20 SR1 y 4.30.

DescripciĂłn:
BD ha reportado 2 vulnerabilidades, una de severidad alta y la otra media, que afectan a varios de sus productos, y cuya explotaciĂłn podrĂ­a permitir a un atacante acceder, modificar o eliminar informaciĂłn sanitaria electrĂłnica protegida (ePHI), informaciĂłn sanitaria protegida (PHI) e informaciĂłn personal identificable (PII).

SoluciĂłn:

  • BD estĂĄ reforzando actualmente las capacidades de gestiĂłn de credenciales en los productos BD Pyxis. El personal de servicio estĂĄ trabajando con los usuarios cuyas credenciales de servidor(es) unido(s) al dominio requieren actualizaciones. BD estĂĄ probando una soluciĂłn de gestiĂłn de credenciales dirigida inicialmente a versiones especĂ­ficas del producto BD Pyxis y que permitirĂĄ mejorar las prĂĄcticas de gestiĂłn de la autenticaciĂłn con credenciales especĂ­ficas del sistema operativo local. Los cambios necesarios para la instalaciĂłn, la actualizaciĂłn o las aplicaciones se estĂĄn evaluando como soluciones.
  • BD Synapsys v4.20 SR2 se lanzarĂĄ en junio de 2022 y corregirĂĄ esta vulnerabilidad. Los usuarios que reciban BD Synapsys v4.30 podrĂĄn actualizar a v5.10, que se espera que estĂ© disponible en agosto de 2022.

Detalle:

  • Algunos productos de BD Pyxis se instalaron con credenciales por defecto y un atacante podrĂ­a explotar esta vulnerabilidad para obtener acceso privilegiado al sistema de archivos subyacente y obtener acceso a ePHI u otra informaciĂłn sensible. Se ha asignado el identificador CVE-2022-22767 para esta vulnerabilidad alta.
  • BD Synapsys es vulnerable debido a una caducidad de sesiĂłn insuficiente, lo que podrĂ­a permitir a un atacante realizar la modificaciĂłn de ePHI, PHI o PII. El resultado podrĂ­a causar un retraso o un tratamiento incorrecto. Se ha asignado el identificador CVE-2022-30277 para esta vulnerabilidad media.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, Infraestructuras crĂ­ticas, Sanidad, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.