[SCI] Múltiples vulnerabilitats en productes de B.Braun

Introducció

Els investigadors de McAfee, Douglas McKee i Philippe Laulheret han reportat 5 vulnerabilitats, 1 de severitat crítica i 4 mitges en productes de l’empresa B.Braun[1], l’explotació del qual podria permetre a un atacant, remot i no autenticat, obtenir accés a la línia d’ordres a nivell d’usuari, enviar al dispositiu dades malicioses, reconfigurar el dispositiu, obtenir informació sensible o sobreescriure fitxers crítics[2].

 

Anàlisi

Les vulnerabilitats afecten les versions 028U000061 i anteriors (als Estats Units i Canadà) i L81 i anteriors (fora dels Estats Units i Canadà) de la Battery-Pack SP amb Wi-Fi instal·lades en una bomba d’infusió Infusomat Space i Perfusor Space.

Les versions 012U000061 i anteriors (als Estats Units i Canadà) i la L81 i anteriors (fora dels Estats Units) de l’SpaceStation amb SpaceCom 2 també s’han vist afectades.

La vulnerabilitat de severitat crítica té assignada el següent identificador:

CVE-2021-33885: Una verificació insuficient de l’autenticitat de les dades podria permetre que un atacant, remot i no autenticat, enviés al dispositiu dades malicioses. Això donaria lloc a un accés i execució de comandes en tot el sistema a causa de la manca de signatures criptogràfiques en els conjunts de dades crítiques.

 

Recomanacions

Es recomana actualitzar la versió del software del Battery-Pack SP amb Wi-Fi a 028U00093 (SN 138852 i anteriors) i 054U00093 (SN 138853 i posteriors) als Estats Units i Canadà, fora d’aquests països es recomana actualitzar el software per a aquest producte a la 027L000093 (SN 138853 i anteriors) i 053L00093 (SN138853 i posteriors).

En el cas de l’SpaceStation amb SpaceCom 2, es recomana actualitzar a la versió de software 012U000093 als Estats Units i al Canadà ia la versió 011L000093 fora d’aquests països.

 

Referències

[1] B. Braun Medical S.A.

[2] ICS Medical Advisory (ICSMA-21-294-01)