Inicio / Alerta Temprana / Avisos Sci / Fallo de autenticación en CareFusion’s Pyxis SupplyStation

Fallo de autenticación en CareFusion’s Pyxis SupplyStation

Fecha de publicación: 
16/10/2014
Importancia: 
5 - Crítica
Recursos afectados: 

Pyxis SupplyStation system 8.1 (software de la herramienta de prueba de hardware versión 1.0.15 y anteriores)

Descripción: 

El investigador Billy Rios ha informado de varias vulnerabilidades en CareFusion’s Pyxis SupplyStation que podrían permitir a un atacante comprometer el sistema de forma remota.

Solución: 

CareFusion ha publicado una nueva versión (1.0.16) del software de la herramienta de prueba de hardware que soluciona tres de las cuatro vulnerabilidades, y que ha sido instalada remotamente en los sistemas afectados de acuerdo al contrato de servicio de soporte remoto.

La vulnerabilidad CVE-2014-5421 no ha sido corregida ya que requiere acceso físico al dispositivo.

Detalle: 

Se han reportado las siguientes vulnerabilidades:

  • El sistema Pyxis SupplyStation contiene una contraseña embebida que otorga privilegios de administrador, lo que podría provocar que un atacante remoto comprometiera el dispositivo. Se ha reservado el identificador CVE-2014-5422.
  • Debido a que el sistema Pyxis SupplyStation utiliza una contraseña embebida para el acceso a la base de datos que captura las transacciones, y que los procesos de la base de datos se ejecutan con permisos de usuario con privilegios, un atacante con acceso físico al sistema podría comprometerlo y eliminar todo el contenido. Se ha reservado el identificador CVE-2014-5421.
  • El sistema Pyxis SupplyStation utiliza una cuenta embebida que otorga el acceso a ficheros de la aplicación. Se ha reservado el identificador CVE-2014-5420.
  • El sistema Pyxis SupplyStation incluye ficheros de debug y otros de desarrollo que pueden facilitar información acerca del código de la aplicación y exponer vulnerabilidades del sistema. Se ha reservado el identificador CVE-2014-5423.