Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidades en Pyxis SupplyStation de CareFusion

Vulnerabilidades en Pyxis SupplyStation de CareFusion

Fecha de publicación: 
30/03/2016
Importancia: 
5 - Crítica
Recursos afectados: 

Pyxis SupplyStation con servidor 2003/XP, versiones 8.0, 8.1.3, 9.0, 9.1, 9.2 y 9.3

 

Descripción: 

Los investigadores Billy Rios y Mike Ahmadi en colaboración con CareFusion han identificado numerosas vulnerabilidades de software de terceras partes en versiones carentes de soporte para el sistema Pyxis SupplyStation de CareFusion.

Solución: 

Debido a que las versiones afectadas están fuera del periodo de soporte, no se proporcionará un parche; Sin embargo,CareFusion ha proporcionado las siguientes medidas de mitigación para reducir el riesgo de explotación para aquellas versiones afectadas:

  • Aislar a los sistemas afectados de Internet o cualquier sistema no confiable. Si es necesaria conectividad adicional, realizarla a través de VPN.
  • Cuando sea necesario el acceso remoto, realizarlo a través de VPN
  • Monitorizar todo el tráfico de red que intente acceder al sistema vulnerable.
  • Cierre de todos los puertos no usados en los sistemas vulnerables.
  • Situar los equipos médicos y remotos tras cortafuegos y aislarlos de la red corporativa.
  • Comprobar que los equipos tienen todos los parches de Microsoft y que las firmas de virus de ESET están actualizados.
  • Si se utiliza pcAnywhere, comprobar que está actualizada a su versión 12.,5 SP4. De no ser así contactar con Carefusion.
  • Utilizar contraseñas seguras, habilitar el historial y caducidad de contraseñas
Detalle: 

La última actualización (sobre abril 2010) de la versión 8.1.3 de Pyxis SupplyStation fue examinada y se descubrió que contenía 1.418 vulnerabilidades en 7 paquetes pertenecientes a software de terceras partes de diferentes fabricantes, repartidas en 86 ficheros diferentes.

Los componentes de software de terceros vulnerables y que están presentes en Pyxis SupplyStation son los siguientes:

  • BMC Appsight 5.7
  • SAP Crystal Reports 8.5
  • Flexera Software Installshield
  • Microsoft Windows XP
  • Sybase SQL Anywhere 9
  • Symantec Antivirus 9
  • Symantec pcAnywhere 10.5

Un ataque remoto podría explotar estas vulnerabilidades que afectan al software de terceros con el objetivo de comprometer el Pyxis SupplyStation.

CareFusion ha confirmado que las vulnerabilidades están presentes en los sistemas opera con servidores 2003 y Windows XP, los cuales están fuera del periodo de soporte. La versión 9.3, 9.4 y 10.0 de los Pyxis SupplyStation.  que operan con servidores 2008, servidores 2012 o Windows 7 no contienen vulnerabilidades conocidas.

Etiquetas: