Inicio / Content / Boletín de INCIBE-CERT del 04-03-2022

Boletín de INCIBE-CERT del 04-03-2022

Inyección y ejecución de código arbitrario en ipDIO de IPCOMM

Fecha de publicación: 
04/03/2022
Importancia: 
4 - Alta
Recursos afectados: 

IPCOMM ipDIO, versión de firmware 3.9 2016/04/18 / IPDIO SW 3.9.

Descripción: 

Aarón Flecha Menéndez, de S21Sec, ha reportado 4 vulnerabilidades, 2 de severidad alta y 2 medias, al CISA que podrían permitir a un atacante inyectar y ejecutar código arbitrario.

Solución: 

IPCOMM no ofrece soporte para ipDIO y se considera el fin de su ciclo de vida útil.

IPCOMM recomienda actualizar a ip4Cloud, que es el sucesor de ipDIO. Obtenga soporte técnico de la actualización desde el centro de soporte al cliente de IPCOMM.

Detalle: 
  • La ausencia de filtros a la hora de cargar algunas secciones en la aplicación web del dispositivo vulnerable podría permitir a un atacante inyectar código malicioso sobre parámetros específicos que será interpretado cuando un usuario legítimo acceda a la sección web donde se muestra la información. El código inyectado se ejecuta cuando un usuario legítimo intenta cargar, copiar, descargar o eliminar una configuración existente (Administrative Services). Se ha asignado el identificador CVE-2022-24915 para esta vulnerabilidad de severidad alta.
  • La ausencia de filtros a la hora de cargar algunas secciones en la aplicación web del dispositivo vulnerable podría permitir a un atacante inyectar código malicioso sobre parámetros específicos que será interpretado cuando un usuario legítimo acceda a la sección web donde se muestra la información. El código inyectado se ejecuta cuando un usuario legítimo intenta revisar el historial. Se ha asignado el identificador CVE-2022-22985 para esta vulnerabilidad de severidad alta.

Para el resto de vulnerabilidades de severidad media se han asignado los identificadores: CVE-2022-24432 y CVE-2022-21146.

Encuesta valoración

Múltiples vulnerabilidades en productos Becton, Dickinson and Company (BD)

Fecha de publicación: 
04/03/2022
Importancia: 
4 - Alta
Recursos afectados: 
  • BD Pyxis:
    • Anesthesia Station ES;
    • Anesthesia Station 4000;
    • CATO;
    • CIISafe;
    • Inventory Connect;
    • IV Prep;
    • JITrBUD;
    • KanBan RF;
    • Logistics;
    • Med Link Family;
    • MedBank;
    • MedStation 4000;
    • MedStation ES;
    • MedStation ES Server;
    • ParAssist;
    • PharmoPack;
    • ProcedureStation (incluyendo EC);
    • Rapid Rx;
    • StockStation;
    • SupplyCenter;
    • SupplyRoller;
    • SupplyStation (incluyendo RF, EC y CP);
    • Track y Deliver.
  • BD Rowa Pouch Packaging Systems.
  • BD Viper LT system. versión 2.0 y posteriores.
Descripción: 

BD ha reportado 2 vulnerabilidades de severidad alta al CISA cuya explotación podría permitir a un atacante acceder, modificar o eliminar información sanitaria electrónica protegida (ePHI) u otra información sensible.

Solución: 

BD está en proceso de reforzar las capacidades de gestión de credenciales en los dispositivos BD Pyxis. Además, el fabricante está trabajando para corregir la vulnerabilidad en el sistema BD Viper LT y espera que la solución se incluya en la próxima versión 4.80 del producto.

Para más información, consultar los boletines de seguridad de Pyxis y Viper LT.

Detalle: 
  • El producto afectado es vulnerable debido al uso de credenciales codificadas en texto claro, lo que podría permitir a un atacante obtener acceso al sistema de archivos subyacente y explotar los archivos de la aplicación para obtener información que podría utilizarse para descifrar las credenciales de la aplicación u obtener acceso a la información sanitaria electrónica protegida (ePHI) u otra información sensible. Se ha asignado el identificador CVE-2022-22766 para esta vulnerabilidad.
  • El producto afectado es vulnerable debido al uso de credenciales codificadas en texto claro, lo que podría permitir a un atacante acceder, modificar o eliminar información sensible, incluyendo la información de salud electrónica protegida (ePHI), la información de salud protegida (PHI) y la información de identificación personal (PII). Se ha asignado el identificador CVE-2022-22765 para esta vulnerabilidad.

Encuesta valoración