Vulnerabilidad de falta de protección en la interfaz de las bombas BD BodyGuard
Fecha de publicación:
02/12/2022
Identificador:
INCIBE-2022-1038
Importancia:
3 -
Media
Recursos afectados:
- BD BodyGuard;
- CME BodyGuard 323 (2ª edición);
- CME BodyGuard 323 Color Vision (2ª edición);
- CME BodyGuard 323 Color Vision (3ª edición);
- CME BodyGuard Twins (2ª edición).
Descripción:
La explotación exitosa de esta vulnerabilidad podría permitir que un atacante cambie los ajustes de configuración o deshabilite la bomba.
Solución:
BD recomienda las siguientes mitigaciones para reducir el riesgo asociado con esta vulnerabilidad:
- Asegúrate de que existan controles de acceso físico para garantizar que solo los usuarios autorizados tengan acceso al producto afectado.
- Asegúrate de que solo el equipo aprobado por BD esté conectado a la interfaz RS-232 de las bombas afectadas.
- Cuando las bombas afectadas estén administrando infusiones, asegúrate de que no haya ningún equipo conectado a la interfaz RS-232.
- Protege los sistemas informáticos conectados con el software BodyComm con medidas de seguridad estándar.
Detalle:
Las bombas de infusión BD BodyGuard afectadas permiten el acceso a través de la interfaz del puerto RS-232 (serie). Un atacante con acceso físico y equipo y con conocimientos especializados podría configurar o deshabilitar la bomba. En la bomba no se almacena información de salud protegida electrónica (ePHI), información de salud protegida (PHI) e información de identificación personal (PII). Se ha asignado el identificador CVE-2022-43557 para esta vulnerabilidad.
