Inicio / Alerta Temprana / Avisos Sci / Protección insuficiente de credenciales en Alaris 8000 y Alaris 8015 de BD

Protección insuficiente de credenciales en Alaris 8000 y Alaris 8015 de BD

Fecha de publicación: 
08/02/2017
Importancia: 
3 - Media
Recursos afectados: 
  • Unidad Alaris 8000 Point of Care (PC), todas las versiones.
  • Unidad Alaris 8015 Point of Care (PC), versión 9.5 y anteriores.
  • Unidad Alaris 8015 Point of Care (PC), versión 9.7.
Descripción: 

Becton, Dickinson and Company (BD) ha identificado vulnerabilidades de protección insuficiente de credenciales las versiones de la unidad Alaris 8000 Point of Care (PC) y en varias versiones de la unidad Alaris 8015 Point of Care (PC), utilizadas para programar transfusiones intravenosas. Un potencial atacante no autorizado con acceso físico al dispositivo podría acceder a las credenciales de autenticación de la red inalámbrica y otros datos técnicos sensibles en el equipo.

Solución: 

BD no ha desarrollado una solución para estas vulnerabilidades, pero ha publicado un listado de controles para reducir el riesgo de explotación. BD recomienda a los usuarios apliquen los siguientes controles:

  • BD recomienda a los usuarios de la versión 9.5 del software de la unidad Alaris 8015 PC que actualicen a la última versión para reducir aún más los riesgos asociados, ya que la versión de software 9.7 de la unidad Alaris 8015 PC y versiones posteriores no almacenan credenciales de red en la memoria flash extraíble.
  • Para la versión 9.7 y posteriores de la unidad Alaris 8015 PC, BD ha implementado controles de seguridad físicos de nivel 2 del estándar FIPS 140-2 (Federal Information Processing Standard), incluyendo sistemas de evidencia de apertura aplicados al hardware para evitar accesos físicos no autorizados. Los usuarios deben revisar la guía "FIPS 140-2 Compliance Instructions for Alaris Products", páginas 11-29, para obtener información sobre cómo aplicar los controles físicos de nivel 2 del estándar FIPS 140-2 en la unidad Alaris 8015 PC.
  • Se aconseja a los usuarios implementar un programa de gestión de activos físicos que implique el seguimiento y el inventario del equipamiento.
  • Se recomienda a los usuarios que sigan los procedimientos para borrar las credenciales de autenticación de la red inalámbrica en la unidad Alaris PC si el dispositivo se va a retirar o cambiar de lugar. Estos procedimientos se describen en el Manual del usuario del software del sistema de mantenimiento Alaris.
  • Se recomienda a los usuarios cambiar las credenciales de autenticación de la red inalámbrica de forma regular e inmediata si hay evidencia de acceso físico no autorizado a un dispositivo Alaris en sus instalaciones.    
  • Se recomienda encarecidamente a los usuarios que consideren la política de seguridad en la que las credenciales inalámbricas no estén configuradas para la unidad de Alaris PC si la funcionalidad de red inalámbrica no está siendo utilizada para el funcionamiento. Esto solucionará esta vulnerabilidad para los usuarios no inalámbricos.
  • Los usuarios pueden optar por implementar Listas de control de acceso que restrinjan el acceso al dispositivo a direcciones MAC, IP, puertos, protocolos y servicios específicos.    
  • Los usuarios pueden elegir situar las unidades Alaris PC en una red aislada con SSID dedicado para reducir el impacto de las credenciales de la red inalámbrica comprometidas. En todos los casos, la mejor práctica de seguridad prescribe el cambio frecuente de SSID y las credenciales de autenticación inalámbrica.

BD también ha publicado un boletín de seguridad para la unidad Alaris PC (PCU) modelo 8000, que está disponible en el siguiente enlace:

Http://www.carefusion.com/customer-support/alerts-and-notices/product-security-bulletin-for-alaris-pc-unit-model-8000

Para la unidad Alaris PC (PCU) modelo 8015:

http://www.carefusion.com/customer-support/alerts-and-notices/product-security-bulletin-for-alaris-pc-unit-model-8015 

Detalle: 
  • Protección insuficiente de credenciales (Unidad Alaris 8000 PC).Un usuario no autorizado con acceso físico a una unidad Alaris 8000 PC puede obtener las credenciales sin cifrar de autenticación de la red inalámbrica y otros datos técnicos confidenciales al desmontar una unidad y acceder a la memoria flash del dispositivo. La unidad almacena las credenciales de autenticación de la red inalámbrica y otros datos técnicos confidenciales en la memoria flash interna. El acceso a la memoria flash interna del dispositivo afectado requeriría herramientas especiales para extraer los datos, y llevar a cabo este ataque en una instalación sanitaria aumentaría la probabilidad de detección. Se ha reservado el identificador CVE-2016-8375 para esta vulnerabilidad.
  • Protección insuficiente de credenciales (Unidad Alaris 8015 PC, versión 9.7). Un potencial atacante no autorizado con acceso físico a una unidad Alaris 8015 PC puede obtener las credenciales de autenticación de la red inalámbrica sin cifrar y otros datos técnicos confidenciales al desmontar una unidad y acceder a la memoria flash del dispositivo. La versión 9.7 de la unidad Alaris 8015 PC, almacena credenciales de autenticación de redes inalámbricas y otros datos técnicos confidenciales en la memoria flash interna. El acceso a la memoria flash interna de los dispositivos afectados requeriría herramientas especiales para la extracción de datos. Además, llevar a cabo este tipo de ataque en una instalación sanitaria aumentaría la probabilidad de detección. Se ha reservado el identificador CVE-2016-8375 para esta vulnerabilidad.
  • Protección insuficiente de credenciales (Unidad Alaris 8015 PC, versiones 9.5 y anteriores). Un potencial atacante no autorizado con acceso físico a una unidad Alaris 8015 PC puede obtener las credenciales de autenticación de la red inalámbrica sin cifrar y otros datos técnicos confidenciales al desmontar una unidad y acceder a la memoria flash del dispositivo. Las versiones de software más antiguas de la unidad, versión 9.5 y anteriores, almacenan las credenciales de autenticación de la red inalámbrica y otros datos técnicos confidenciales en la memoria flash extraíble del dispositivo afectado. Ser capaz de eliminar la memoria flash del dispositivo afectado reduce el riesgo de detección, lo que permite a un atacante extraer los datos almacenados a conveniencia. Se ha reservado el identificador CVE-2016-9355 para esta vulnerabilidad.
Etiquetas: