Bezpečnostné varovanie V20180826-05

26. augusta 2018

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP WHITE
CVSS Skóre	9.4

Identifikátor

BD Alaris Plus Syringe Pumps Vulnerability

Popis

Spoločnosť Becton, Dickinson and Company (BD) a ICS-CERT vydali upozornenie na kritickú zraniteľnosť v infúznych injekčných pumpách série Alaris Plus.
Bezpečnostná zraniteľnosť spočíva v nesprávnej implementácii mechanizmov autentifikácie a vzdialený neautentifikovaný útočník by ju mohol zneužiť na získanie neoprávneného prístupu do systému a ovplyvniť činnosť zasiahnutých zariadení.
Zraniteľnosť je možné zneužiť, len ak je zariadenie pripojené k terminálovému serveru prostredníctvom sériového portu.

Dátum prvého zverejnenia varovania

23.08.2018

CVE

CVE-2018-14786

Zasiahnuté systémy

BD Alaris GS, Alaris GH, Alaris CC, Alaris TIVA verzie 2.3.6 a staršie

Následky

Neoprávnený prístup do systému, Neoprávnená zmena v systéme

Odporúčania

Na uvedenú zraniteľnosť v súčasnosti nie sú dostupné aktualizácie. Spoločnosť BD odporúča:
– nepoužívať na správu zariadení terminálové servery
– prevádzkovať zariadenia v izolovanom sieťovom segmente alebo ako standalone zariadenia
– ak je to možné, zariadenia spravovať výhradne prostredníctvom dokovacej stanice Alaris™ Gateway Workstation

Zdroje

https://www.bd.com/en-us/support/product-security-and-privacy/product-security-bulletin-for-various-alaris-plus-syringe-pumps-sold-and-in-use-outside-the-united-states
https://ics-cert.us-cert.gov/advisories/ICSMA-18-235-01

« Späť na zoznam

Bezpečnostné varovanie V20180826-05

SK-CERT Bezpečnostné varovanie V20240419-04

SK-CERT Bezpečnostné varovanie V20240419-03

SK-CERT Bezpečnostné varovanie V20240419-02