Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/06/14

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

• Alaris Gateway Workstation, 1.0.13, 1.1.3 Build 10, 1.1.3 MR Build 11, 1.1.5, 1.1.6, 1.2 Build 15 eta 1.3.0 Build 14 bertsioak.
• Modu osagarrian, ondoko produktuak ere bai, 2.3.6 bertsioan eta lehenagokoetan: 
  
  • Alaris GH.
  • Alaris CC.
  • Alaris TIVA.

Azalpena:

CyberMDXko Elad Luz ikertzaileak hainbat ahultasun aurkitu ditu BDren (Becton, Dickinson and Company) Alaris Gateway Workstation-en. Horiek baliatuz sarera sarbidea lukeen urruneko erasotzaile batek gailuko informazio sentikorra bistaratu lezake, konfigurazioak editatu, urruneko kodea exekutatu edo zerbitzuaren ukapen egoera eragin.

Konponbidea: 

• Alaris Gateway Workstation-ek duen ahultasunaren kasuan: 
  
  • Azken firmwarera eguneratzea, 1.3.2 edo 1.6.1 bertsioa.
  • Kaltetutako produktua dagoen sarera erabiltzaileek egiten dituzten sarbideak kontrolatzea.
  • Kaltetutako produktua duten sistemak isolatzea zilegi ez diren sistemen aurrean.
• Alaris Gateway lan estazioko fitxategi arriskutsuen kargaren ahultasunaren kasuan: 
  
  • SMB protokoloa blokatzea.
  • Sarea bereiztea VLANen erabilerarekin.
  • Sarerako sarbidea erabiltzaile baimenduek soilik dutela ziurtatzea.

Xehetasuna: 

• Alaris Gateway Workstation-ek eskaintzen duen nabigazio interfazeak ez ditu modu zuzenean kudeatzen informazio sentikorra duten fitxategi ezberdinetarako sarbideak. Alaris-en IPa ezagutuko lukeen erasotzaile batek ahultasun hori balia lezake gailu horretako konfigurazioei buruzko informazioa eskuratzeko. Ahultasun horretarako CVE-2019-10962 identifikatzailea erabili da.
• Aplikazioak ez du firmware eguneraketa batean gailura igo daitezkeen fitxategien murrizpen egokirik. Ahultasun hori baliatuz erasotzaile batek asmo gaiztoko edukia duten fitxategiak igo litzake. Ahultasun horretarako CVE-2019-10959 identifikatzailea erabili da.

Etiketak: Ahultasuna