Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos de B. Braun

Múltiples vulnerabilidades en productos de B. Braun

Fecha de publicación: 
22/10/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • En Estados Unidos y Canadá:
    • Battery-Pack SP con Wi-Fi, versiones de software 028U000061 y anteriores, que se hayan instalado en una bomba de infusión Infusomat Space o Perfusor Space;
    • SpaceStation con SpaceCom 2, versiones de software 012U000061 y anteriores.
  • Fuera de Estados Unidos y Canadá:
    • Battery-Pack SP con Wi-Fi, versiones de software L81 y anteriores, que se hayan instalado en una bomba de infusión Perfusor Space, Infusomat Space o Infusomat Space P;
    • SpaceStation con SpaceCom 2, versiones de software L81 y anteriores;
    • módulo de datos compactPlus, versiones de software A10 y A11, que se hayan instalado en una bomba de infusión Perfusor compactPlus, Infusomat compactPlus o Infusomat P compactPlus.
Descripción: 

Douglas McKee y Philippe Laulheret, investigadores de McAfee, han reportado 5 vulnerabilidades, 1 de severidad crítica y 4 medias, cuya explotación podría permitir a un atacante, remoto y no autenticado, obtener acceso a la línea de comandos a nivel de usuario, enviar al dispositivo datos maliciosos para ser utilizados en lugar de los datos correctos, reconfigurar el dispositivo desde una fuente desconocida, obtener información sensible o sobrescribir archivos críticos.

Solución: 
  • En Estados Unidos y Canadá (más información aquí):
    • Battery-Pack SP con Wi-Fi, versión de software 028U00062 (SN 138852 y anteriores);
    • Battery-Pack SP con Wi-Fi, versión de software 054U00091 (SN 138853 y posteriores);
    • SpaceStation con SpaceCom 2, versión de software 012U000083.
  • Fuera de Estados Unidos y Canadá (más información aquí):
    • Battery-Pack SP con Wi-Fi, versión de software 053L00091 (SN 138853 y posteriores);
    • SpaceStation con SpaceCom 2, versión de software 011L000083.
Detalle: 
  • Una verificación insuficiente de la autenticidad de los datos podría permitir que un atacante, remoto y no autenticado, enviase al dispositivo datos maliciosos que se utilizarán en lugar de los datos correctos. Esto daría lugar a un acceso y ejecución de comandos en todo el sistema debido a la falta de firmas criptográficas en los conjuntos de datos críticos. Se ha asignado el identificador CVE-2021-33885 para esta vulnerabilidad crítica.

Para el resto de vulnerabilidades medias se han asignado los identificadores: CVE-2021-33886, CVE-2021-33882, CVE-2021-33883 y CVE-2021-33884.

Encuesta valoración