Introducció
Els investigadors de McAfee, Douglas McKee i Philippe Laulheret han reportat 5 vulnerabilitats, 1 de severitat crítica i 4 mitges en productes de l’empresa B.Braun[1], l’explotació del qual podria permetre a un atacant, remot i no autenticat, obtenir accés a la línia d’ordres a nivell d’usuari, enviar al dispositiu dades malicioses, reconfigurar el dispositiu, obtenir informació sensible o sobreescriure fitxers crítics[2].
Anàlisi
Les vulnerabilitats afecten les versions 028U000061 i anteriors (als Estats Units i Canadà) i L81 i anteriors (fora dels Estats Units i Canadà) de la Battery-Pack SP amb Wi-Fi instal·lades en una bomba d’infusió Infusomat Space i Perfusor Space.
Les versions 012U000061 i anteriors (als Estats Units i Canadà) i la L81 i anteriors (fora dels Estats Units) de l’SpaceStation amb SpaceCom 2 també s’han vist afectades.
La vulnerabilitat de severitat crítica té assignada el següent identificador:
CVE-2021-33885: Una verificació insuficient de l’autenticitat de les dades podria permetre que un atacant, remot i no autenticat, enviés al dispositiu dades malicioses. Això donaria lloc a un accés i execució de comandes en tot el sistema a causa de la manca de signatures criptogràfiques en els conjunts de dades crítiques.
Recomanacions
Es recomana actualitzar la versió del software del Battery-Pack SP amb Wi-Fi a 028U00093 (SN 138852 i anteriors) i 054U00093 (SN 138853 i posteriors) als Estats Units i Canadà, fora d’aquests països es recomana actualitzar el software per a aquest producte a la 027L000093 (SN 138853 i anteriors) i 053L00093 (SN138853 i posteriors).
En el cas de l’SpaceStation amb SpaceCom 2, es recomana actualitzar a la versió de software 012U000093 als Estats Units i al Canadà ia la versió 011L000093 fora d’aquests països.
Referències
[1] B. Braun Medical S.A.[2] ICS Medical Advisory (ICSMA-21-294-01)