Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Omisión de aviso de acciones inseguras en sistemas BD Kiestra y InoquIA de Becton, Dickinson and Company (BD)

Fecha de publicación: 23/05/2018

Importancia: Media

Recursos afectados:

Los siguientes sistemas utilizan aplicaciones afectadas por las vulnerabilidades:

  • BD Kiestra TLA
  • BD Kiestra WCA
  • Procesador de muestras BD InoqulA

Las aplicaciones afectadas por las vulnerabilidades son:

  • Database (DB) Manager, versión 3.0.1.0
  • ReadA Overview, versión 1.1.0.2 y anteriores
  • PerformA, versión 3.0.0.0 y anteriores

Descripción:

BD ha identificado dos vulnerabilides de no advertencia de acciones no seguras en sistemas que afectan a los sistemas BD Kiestra y InoquIA. Un potencial atacante podría hacer que se perdieran o borraran datos.

Solución:

BD tiene la intención de implementar las mitigaciones necesarias antes de julio de 2018. Esta mitigación incluirá la eliminación de la funcionalidad para activar las funciones SQL en DB Manager, PerformA y ReadA. Hasta que esto tenga lugar, BD recomienda los siguientes controles para reducir el riesgo asociado con estas vulnerabilidades:

  • DB Manager:
    • El personal de BD Kiestra Laboratory no debe utilizar las funciones SQL asociadas a la funcionalidad en los tres sistemas BD Kiestra: BD Kiestra TLA, BD Kiestra WCA y del procesador de muestras BD InoqulA . Se recomienda no reutilizar los programas actuales a través de la función exportar-importar, sino configurar un nuevo programa o usar las plantillas de programa predefinidas.
    • Asegurarse de que solo el personal autorizado y cualificado tenga derechos de control de acceso a todas las funciones en el DB Manager. Esto se puede configurar a través de la función 'Usuarios' en DB Manager.
  • ReadA Overview: se recomienda a los usuarios que configuren la función 'Users' para todos los usuarios en 'none' para acceder a ReadA Overview, si la aplicación no se usa o no se usa habitualmente. Esto se puede configurar a través de la función 'Users' en DB Manager. Si es necesario el uso de ReadA Overview, se recomienda a los usuarios que se aseguren de que solo el personal autorizado y cualificado tengan derechos de control de acceso a todas las funciones en ReadA Overview. Esto se puede configurar a través de la función 'Users' en DB Manager.
  • PerformA: se recomienda a los usuarios que garanticen el acceso a los servidores de BD Kiestra para su monitorización mientras se implementan las mejores prácticas de seguridad para evitar de manera efectiva el acceso no autorizado a los sistemas BD Kiestra.

Detalle:

Una vulnerabilidad en DB Manager y PerformA y en ReadA permitiría a un usuario autorizado con accesos elevados en el sistema BD Kiestra, usar comandos SQL que pueden resultan en una corrupción de datos. Se han reservado los identificadores CVE-2018-10593 y CVE-2018-10595 para estas vulnerabilidades.

Etiquetas: Vulnerabilidad