Argitalpen data: 2019/06/14
Garrantzia: Kritikoa
Kaltetutako baliabideak:
- Alaris Gateway Workstation, 1.0.13, 1.1.3 Build 10, 1.1.3 MR Build 11, 1.1.5, 1.1.6, 1.2 Build 15 eta 1.3.0 Build 14 bertsioak.
- Modu osagarrian, ondoko produktuak ere bai, 2.3.6 bertsioan eta lehenagokoetan:
- Alaris GH.
- Alaris CC.
- Alaris TIVA.
Azalpena:
CyberMDXko Elad Luz ikertzaileak hainbat ahultasun aurkitu ditu BDren (Becton, Dickinson and Company) Alaris Gateway Workstation-en. Horiek baliatuz sarera sarbidea lukeen urruneko erasotzaile batek gailuko informazio sentikorra bistaratu lezake, konfigurazioak editatu, urruneko kodea exekutatu edo zerbitzuaren ukapen egoera eragin.
Konponbidea:
- Alaris Gateway Workstation-ek duen ahultasunaren kasuan:
- Azken firmwarera eguneratzea, 1.3.2 edo 1.6.1 bertsioa.
- Kaltetutako produktua dagoen sarera erabiltzaileek egiten dituzten sarbideak kontrolatzea.
- Kaltetutako produktua duten sistemak isolatzea zilegi ez diren sistemen aurrean.
- Alaris Gateway lan estazioko fitxategi arriskutsuen kargaren ahultasunaren kasuan:
- SMB protokoloa blokatzea.
- Sarea bereiztea VLANen erabilerarekin.
- Sarerako sarbidea erabiltzaile baimenduek soilik dutela ziurtatzea.
Xehetasuna:
- Alaris Gateway Workstation-ek eskaintzen duen nabigazio interfazeak ez ditu modu zuzenean kudeatzen informazio sentikorra duten fitxategi ezberdinetarako sarbideak. Alaris-en IPa ezagutuko lukeen erasotzaile batek ahultasun hori balia lezake gailu horretako konfigurazioei buruzko informazioa eskuratzeko. Ahultasun horretarako CVE-2019-10962 identifikatzailea erabili da.
- Aplikazioak ez du firmware eguneraketa batean gailura igo daitezkeen fitxategien murrizpen egokirik. Ahultasun hori baliatuz erasotzaile batek asmo gaiztoko edukia duten fitxategiak igo litzake. Ahultasun horretarako CVE-2019-10959 identifikatzailea erabili da.
Etiketak: Ahultasuna