Fallo de autenticación en CareFusion’s Pyxis SupplyStation
Fecha de publicación:
16/10/2014
Importancia:
5 -
Crítica
Recursos afectados:
Pyxis SupplyStation system 8.1 (software de la herramienta de prueba de hardware versión 1.0.15 y anteriores)
Descripción:
El investigador Billy Rios ha informado de varias vulnerabilidades en CareFusion’s Pyxis SupplyStation que podrían permitir a un atacante comprometer el sistema de forma remota.
Solución:
CareFusion ha publicado una nueva versión (1.0.16) del software de la herramienta de prueba de hardware que soluciona tres de las cuatro vulnerabilidades, y que ha sido instalada remotamente en los sistemas afectados de acuerdo al contrato de servicio de soporte remoto.
La vulnerabilidad CVE-2014-5421 no ha sido corregida ya que requiere acceso físico al dispositivo.
Detalle:
Se han reportado las siguientes vulnerabilidades:
- El sistema Pyxis SupplyStation contiene una contraseña embebida que otorga privilegios de administrador, lo que podría provocar que un atacante remoto comprometiera el dispositivo. Se ha reservado el identificador CVE-2014-5422.
- Debido a que el sistema Pyxis SupplyStation utiliza una contraseña embebida para el acceso a la base de datos que captura las transacciones, y que los procesos de la base de datos se ejecutan con permisos de usuario con privilegios, un atacante con acceso físico al sistema podría comprometerlo y eliminar todo el contenido. Se ha reservado el identificador CVE-2014-5421.
- El sistema Pyxis SupplyStation utiliza una cuenta embebida que otorga el acceso a ficheros de la aplicación. Se ha reservado el identificador CVE-2014-5420.
- El sistema Pyxis SupplyStation incluye ficheros de debug y otros de desarrollo que pueden facilitar información acerca del código de la aplicación y exponer vulnerabilidades del sistema. Se ha reservado el identificador CVE-2014-5423.
Referencias:
Etiquetas: