Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Becton, Dickinson and Company-ren (BD) Alaris Plus-en autentifikazio ezegokia

Argitalpen data: 2018/08/24

Garrantzia: Kritikoa

Kaltetutako baliabideak: Alaris Plus osasun xiringaren bonben ondoko bertsioak, 2.3.6 bertsioa eta aurrekoak hain zuzen, kaltetuta daude:

  • Alaris GS
  • Alaris GH
  • Alaris CC
  • Alaris TIVA

Azalpena:

CyberMDXeko Elad Luz ikertzaileak BD fabrikatzaileri eman dio ahultasun honen berri, eta fabrikatzailea harremanetan jarri da ICS-CERTekin (NCICC). Ahultasunak zerikusia du autentifikazio ezegokiarekin, eta horrek erasotzaile bati baimenik gabe gailura sartzea ahalbidetuko lioke. Horrela bere jardunean eragin lezake serieko ataka baten bidez zerbitzari batera konektatuta dagoenean.

Konponbidea:

Fabrikatzaileak jakinarazi du ahultasuna ezin dela baliatu gailua Alaris Gateway lan estazio batera konektatuta badago. Gainera, erasotzaileak ahultasuna baliatuz ezingo luke urrunetik gailura sartu, ezta PHI edota PIIra ere.

Ahultasun honi lotutako arriskuak gutxitzearren, BDk aholkatzen du hurrengo arintze eta kontrol neurri konpentsatzaileak jarraitzea:

  • Erasoak zerbitzarien terminalek duten ahultasun ezagun bat baliatzen du. Terminal horiek erabiltzen dituzten erabiltzaileek ulertu behar dute zerbitzarien terminalen erabilpena ez dela bateragarria.
  • Erabiltzaileek ziurtatu behar dute kaltetutako gailuekin segmentatutako sare inguru batean ari direla lanean, edo edozein saretatik isolatutako gailu batekin ari direla, bere jardunean eraginik izango ez duen inolako komunikazio motarik gabe.
  • Erabiltzaileek Alaris Gateway lan estazioaren bitartezko konexioak erabili behar dituzte. Egoera honek urruneko kontrolaren funtzioa desaktibatuko luke, eta horrela ahultasuna ezingo litzateke baliatu.

Xehetasuna:

  • Erabiltzaileen identifikazioa behar duten funtzionalitateetarako autentifikazio ezegokia. Ahultasun horretarako CVE-2018-14786 identifikatzailea erabili da.
Etiketak: Ahultasuna