Escalada local de privilegios en Infinity Central Station de Dräger

Fecha de publicación:

15/03/2022

Importancia:

4 - Alta

Recursos afectados:

Dräger Infinity Central Station (ICS):

VG2.1.2
VG3.

La versión del ICS puede verse al pasar el puntero del ratón sobre el logotipo de Draeger en la parte inferior derecha de la pantalla.

Descripción:

Qualys ha descubierto una vulnerabilidad de corrupción de memoria en pkexec de polkit, que podría permitir a un atacante la escalada local de privilegios. Polkit es un componente para controlar los privilegios en los sistemas operativos tipo Unix.

Solución:

ICS VG2 está basado en CentOS6, el parche para esta versión se proporciona a partir de los parches de febrero de 2022 para CentOS6.
ICS VG3 está basado en CentOS7, el parche para esta versión se proporciona a partir de los parches de febrero de 2022 para CentOS7.

Detalle:

La versión actual de pkexec no gestiona adecuadamente el recuento de parámetros de llamada, provocando que las variables de entorno se utilicen como comandos. Esto podría permitir a un atacante ejecutar código arbitrario mediante la elaboración de variables de entorno especialmente diseñadas. Se ha asignado el identificador CVE-2021-4034 para esta vulnerabilidad.

Referencias:

Dräger Product Security Advisory PSA-22-63-1

PwnKit: escalada de privilegios local en PolKit afecta a distribuciones Linux

Etiquetas:

Actualización

Infraestructuras críticas

Sanidad

Vulnerabilidad

Accesos corporativos

Escalada local de privilegios en Infinity Central Station de Dräger

Protección de credenciales insuficiente en KVMS Pro de CP Plus

Múltiples vulnerabilidades en productos de estaciones de automatización de edificios de SAUTER

Múltiples vulnerabilidades en controladores de bomba Osprey de ProPump

Múltiples vulnerabilidades en LANTIME de Meinberg

Asignación de permisos incorrectos en RoboDK