Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos Becton, Dickinson and Company (BD)

Múltiples vulnerabilidades en productos Becton, Dickinson and Company (BD)

Fecha de publicación: 
04/03/2022
Importancia: 
4 - Alta
Recursos afectados: 
  • BD Pyxis:
    • Anesthesia Station ES;
    • Anesthesia Station 4000;
    • CATO;
    • CIISafe;
    • Inventory Connect;
    • IV Prep;
    • JITrBUD;
    • KanBan RF;
    • Logistics;
    • Med Link Family;
    • MedBank;
    • MedStation 4000;
    • MedStation ES;
    • MedStation ES Server;
    • ParAssist;
    • PharmoPack;
    • ProcedureStation (incluyendo EC);
    • Rapid Rx;
    • StockStation;
    • SupplyCenter;
    • SupplyRoller;
    • SupplyStation (incluyendo RF, EC y CP);
    • Track y Deliver.
  • BD Rowa Pouch Packaging Systems.
  • BD Viper LT system. versión 2.0 y posteriores.
Descripción: 

BD ha reportado 2 vulnerabilidades de severidad alta al CISA cuya explotación podría permitir a un atacante acceder, modificar o eliminar información sanitaria electrónica protegida (ePHI) u otra información sensible.

Solución: 

BD está en proceso de reforzar las capacidades de gestión de credenciales en los dispositivos BD Pyxis. Además, el fabricante está trabajando para corregir la vulnerabilidad en el sistema BD Viper LT y espera que la solución se incluya en la próxima versión 4.80 del producto.

Para más información, consultar los boletines de seguridad de Pyxis y Viper LT.

Detalle: 
  • El producto afectado es vulnerable debido al uso de credenciales codificadas en texto claro, lo que podría permitir a un atacante obtener acceso al sistema de archivos subyacente y explotar los archivos de la aplicación para obtener información que podría utilizarse para descifrar las credenciales de la aplicación u obtener acceso a la información sanitaria electrónica protegida (ePHI) u otra información sensible. Se ha asignado el identificador CVE-2022-22766 para esta vulnerabilidad.
  • El producto afectado es vulnerable debido al uso de credenciales codificadas en texto claro, lo que podría permitir a un atacante acceder, modificar o eliminar información sensible, incluyendo la información de salud electrónica protegida (ePHI), la información de salud protegida (PHI) y la información de identificación personal (PII). Se ha asignado el identificador CVE-2022-22765 para esta vulnerabilidad.

Encuesta valoración