Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun BDren (Becton, Dickinson and Company) Alaris Gateway Workstation-en

Argitalpen data: 2019/06/14

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

  • Alaris Gateway Workstation, 1.0.13, 1.1.3 Build 10, 1.1.3 MR Build 11, 1.1.5, 1.1.6, 1.2 Build 15 eta 1.3.0 Build 14 bertsioak.
  • Modu osagarrian, ondoko produktuak ere bai, 2.3.6 bertsioan eta lehenagokoetan: 
    • Alaris GH.
    • Alaris CC.
    • Alaris TIVA.

Azalpena:

CyberMDXko Elad Luz ikertzaileak hainbat ahultasun aurkitu ditu BDren (Becton, Dickinson and Company) Alaris Gateway Workstation-en. Horiek baliatuz sarera sarbidea lukeen urruneko erasotzaile batek gailuko informazio sentikorra bistaratu lezake, konfigurazioak editatu, urruneko kodea exekutatu edo zerbitzuaren ukapen egoera eragin.

Konponbidea: 

  • Alaris Gateway Workstation-ek duen ahultasunaren kasuan: 
    • Azken firmwarera eguneratzea, 1.3.2 edo 1.6.1 bertsioa.
    • Kaltetutako produktua dagoen sarera erabiltzaileek egiten dituzten sarbideak kontrolatzea.
    • Kaltetutako produktua duten sistemak isolatzea zilegi ez diren sistemen aurrean.
  • Alaris Gateway lan estazioko fitxategi arriskutsuen kargaren ahultasunaren kasuan: 
    • SMB protokoloa blokatzea.
    • Sarea bereiztea VLANen erabilerarekin.
    • Sarerako sarbidea erabiltzaile baimenduek soilik dutela ziurtatzea.

Xehetasuna: 

  • Alaris Gateway Workstation-ek eskaintzen duen nabigazio interfazeak ez ditu modu zuzenean kudeatzen informazio sentikorra duten fitxategi ezberdinetarako sarbideak. Alaris-en IPa ezagutuko lukeen erasotzaile batek ahultasun hori balia lezake gailu horretako konfigurazioei buruzko informazioa eskuratzeko. Ahultasun horretarako CVE-2019-10962 identifikatzailea erabili da.
  • Aplikazioak ez du firmware eguneraketa batean gailura igo daitezkeen fitxategien murrizpen egokirik. Ahultasun hori baliatuz erasotzaile batek asmo gaiztoko edukia duten fitxategiak igo litzake. Ahultasun horretarako CVE-2019-10959 identifikatzailea erabili da.

Etiketak: Ahultasuna