Autenticación inapropiada en Alaris Plus de Becton, Dickinson and Company (BD)
Las siguientes versiones de bombas de jeringa médica Alaris Plus, versiones 2.3.6 y anteriores, se ven afectadas:
- Alaris GS
- Alaris GH
- Alaris CC
- Alaris TIVA
El investigador Elad Luz de CyberMDX ha reportado la vulnerabilidad al fabricante BD que posteriormente se ha puesto en contacto con el ICS-CERT (NCICC). La vulnerabilidad relacionada con la autenticación inapropiada, permitiría a un atacante acceder sin autorización al dispositivo, interfiriendo en su operativa cuando esté conectado a un servidor vía puerto serie.
El fabricante ha informado que la vulnerabilidad no puede explotarse si el dispositivo está conectado a una estación de trabajo Alaris Gateway. Además, el atacante no podría acceder de forma remota al dispositivo, ni a PHI o PII mediante la explotación de la misma.
BD recomienda seguir las siguientes mitigaciones y medidas de control compensatorias para reducir el riesgo asociado a esta vulnerabilidad:
- El ataque utiliza una vulnerabilidad conocida en los terminales de los servidores. Los usuarios que utilicen estos terminales, deben entender que el uso de los terminales de los servidores no es compatible.
- Los usuarios deben asegurarse de que están operando con los dispositivos afectados en un entorno de red segmentado o con un dispositivo totalmente aislado a cualquier red sin ningún tipo de comunicaciones que interfieran en su operativa.
- Los usuarios deben utilizar conexiones a través de la estación de trabajo Alaris Gateway. Esta situación, desactivaría la función de control remoto evitando la explotación de la vulnerabilidad.
- incorrecta autenticación para las funcionalidades que requieren la identificación de usuarios. Se ha asignado el identificador CVE-2018-14786 para esta vulnerabilidad.
