Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en CADD-Solis Medication Safety Software de Smiths-Medical

Múltiples vulnerabilidades en CADD-Solis Medication Safety Software de Smiths-Medical

Fecha de publicación: 
02/12/2016
Importancia: 
5 - Crítica
Recursos afectados: 
  • Smiths-Medical CADD-Solis Medication Safety Software, Versión 1.0.
  • Smiths-Medical CADD-Solis Medication Safety Software, Versión 2.0.
  • Smiths-Medical CADD-Solis Medication Safety Software, Versión 3.0.
  • Smiths-Medical CADD-Solis Medication Safety Software, Versión 3.1.
Descripción: 

Smiths-Medical ha reportado dos vulnerabilidades en CADD-Solis Medication Safety Software, estas vulnerabilidades han sido identificadas por Andrew Gothard. La explotación de estas vulnerabilidades permite a usuarios autenticados añadir usuarios, eliminar usuarios y modificar permisos.

Solución: 

Smiths-Medical  ha publicado nuevas versiones que mitigan las vulnerabilidades identificadas. También recomienda tomar una serie de medidas de seguridad adicionales que se describen a continuación:

  • Aplicar estándares para la elaboración de contraseñas robustas entre los sistemas, requiriendo el uso de mayúsculas, minúsculas, caracteres especiales y una longitud mínima de 8 caracteres.
  • Establecer y gestionar de forma eficiente el directorio activo.
  • Crear una cuenta en la base de datos SQL Express con gestión de permisos para usar con el software CADD-Solis Medication Safety.
  • Establecer y asignar una gestión de cuentas para todos los servidores y bombas de infusión médicas.
  • Uso de tags en redes virtuales de área local (VLAN).
  • Implementar procedimientos para fortificar servidores SQL y Windows.
Detalle: 

Las vulnerabilidades identificadas son:

  • Asignación incorrecta de permisos para recursos críticos: El producto software CADD-Solis Medication Safety proporciona a un usuario autenticado demasiados privilegios en la base de datos SQL, este hecho permitiría a un usuario autenticado modificar las bibliotecas de fármacos, añadir y eliminar usuarios y cambiar permisos de usuario. El software afectado se utiliza para controlar las bombas de medicamentos, según Smiths-Medical el acceso físico a la bomba es requerido a la hora de instalar actualizaciones en las bibliotecas de fármacos. Se ha reservado el identificador CVE-2016-8355 para esta vulnerabilidad.
  • Man-in-the-middle: El software afectado no verifica las identidades en los puntos finales de comunicación. Esta falta de verificación, permite a atacantes remotos acceder a la comunicación entre puntos finales de comunicación. Se ha reservado el identificador CVE-2016-8358 para esta vulnerabilidad.
Etiquetas: