SK-CERT Bezpečnostné varovanie V20221025-03
Dôležitosť | Kritická |
Klasifikácia | Neutajované/TLP WHITE |
CVSS Skóre |
9.0 |
Identifikátor |
B. Braun Melsungen AG produkty – viacero bezpečnostných zraniteľností |
Popis |
Spoločnosť B. Braun Melsungen AG vydala bezpečnostné aktualizácie na svoje produkty Space Large Volume Pump, SpaceStation with SpaceCom 2, Battery Pack SP with Wi-Fi a Data module compact plus, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých 1 je kritická. Kritická bezpečnostná zraniteľnosť je v produkte SpaceStation with SpaceCom 2, spočíva v nedostatočnom overovaní používateľských vstupov a umožňujú vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorených súborov vykonať neoprávnené zmeny v systéme a vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. |
Dátum prvého zverejnenia varovania |
22.10.2022 |
CVE |
CVE-2020-16238, CVE-2020-25150, CVE-2020-25152, CVE-2020-25154, CVE-2020-25156, CVE-2020-25158, CVE-2020-25160, CVE-2020-25162, CVE-2020-25164, CVE-2020-25166, CVE-2020-25168, CVE-2021-33882, CVE-2021-33883, CVE-2021-33884, CVE-2021-33885, CVE-2021-33886 |
IOC |
– |
Zasiahnuté systémy |
B. Braun Melsungen AG Battery Pack SP with Wi-Fi B. Braun Melsungen AG SpaceStation with SpaceCom 2 B. Braun Melsungen AG Data module compact plus Infusomat Space Large Volume Pump Presný zoznam zasiahnutých verzií sa nachádza v odkazoch v časti Zdroje. |
Následky |
Neoprávnené zmeny v systéme Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému |
Odporúčania |
Administrátorom a používateľom odporúčame postupovať podľa postupov a návodov zverejnených na webových adresách nachádzajúcich sa v časti Zdroje. V prípade, že sú dostupné aktualizácie, odporúčame ich bezodkladné vykonanie. Riadiace systémy a jednotky odporúčame prevádzkovať úplne oddelené od internetu. Po odstránení zraniteľností, ktoré mohli spôsobiť vykonanie škodlivého kódu je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
Zdroje |
https://www.cisa.gov/uscert/ics/advisories/icsma-20-296-02 https://www.cisa.gov/uscert/ics/advisories/icsma-21-294-01 |
« Späť na zoznam