Introducción
Los investigadores de McAfee, Douglas McKee y Philippe Laulheret han reportado 5 vulnerabilidades, 1 de severidad crítica y 4 medias en productos de la empresa B.Braun[1], cuya explotación podría permitir a un atacante, remoto y no autenticado, obtener acceso a la línea de comandos a nivel de usuario, enviar al dispositivo datos maliciosos, reconfigurar el dispositivo, obtener información sensible o sobreescribir archivos críticos[2].
Análisis
Las vulnerabilidades afectan a las versiones 028U000061 y anteriores (en Estados Unidos y Canadá) y L81 y anteriores (fuera de Estados Unidos y Canadá) de la Battery-Pack SP con Wi-Fi instaladas en una bomba de infusión Infusomat Space y Perfusor Space.
Las versiones 012U000061 y anteriores (en Estados Unidos y Canadá) y la L81 y anteriores (fuera de Estados Unidos) del SpaceStation con SpaceCom 2 también se han visto afectadas.
La vulnerabilidad de severidad crítica tiene asignada el siguiente identificador:
CVE-2021-33885: Una verificación insuficiente de la autenticidad de los datos podría permitir que un atacante, remoto y no autenticado, enviase al dispositivo datos maliciosos. Esto daría lugar a un acceso y ejecución de comandos en todo el sistema debido a la falta de firmas criptográficas en los conjuntos de datos críticos.
Recomendaciones
Se recomienda actualizar la versión del software del Battery-Pack SP con Wi-Fi a 028U00093 (SN 138852 y anteriores) y 054U00093 (SN 138853 y posteriores) en Estados Unidos y Canadá, fuera de estos países se recomienda actualizar el software para este producto a la 027L000093 (SN 138853 y anteriores) y 053L00093 (SN138853 y posteriores).
En el caso de la SpaceStation con SpaceCom 2, se recomienda actualizar a la versión de software 012U000093 en Estados Unidos y Canadá y a la versión 011L000093 fuera de estos países.
Referencias