Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos BD (Becton, Dickinson and Company)

Fecha de publicación 01/06/2022
Identificador

INCIBE-2022-0772

Importancia
4 - Alta
Recursos Afectados
  • BD Pyxis ES Anesthesia Station,
  • BD Pyxis CIISafe,
  • BD Pyxis Logistics,
  • BD Pyxis MedBank,
  • BD Pyxis MedStation 4000,
  • BD Pyxis MedStation ES,
  • BD Pyxis MedStation ES Server,
  • BD Pyxis ParAssist,
  • BD Pyxis Rapid Rx,
  • BD Pyxis StockStation,
  • BD Pyxis SupplyCenter,
  • BD Pyxis SupplyRoller,
  • BD Pyxis SupplyStation,
  • BD Pyxis SupplyStation EC,
  • BD Pyxis SupplyStation RF auxiliar,
  • BD Rowa Pouch Packaging Systems,
  • BD Synapsys, versiones 4.20, 4.20 SR1 y 4.30.
Descripción
BD ha reportado 2 vulnerabilidades, una de severidad alta y la otra media, que afectan a varios de sus productos, y cuya explotación podría permitir a un atacante acceder, modificar o eliminar información sanitaria electrónica protegida (ePHI), información sanitaria protegida (PHI) e información personal identificable (PII).
Solución
  • BD está reforzando actualmente las capacidades de gestión de credenciales en los productos BD Pyxis. El personal de servicio está trabajando con los usuarios cuyas credenciales de servidor(es) unido(s) al dominio requieren actualizaciones. BD está probando una solución de gestión de credenciales dirigida inicialmente a versiones específicas del producto BD Pyxis y que permitirá mejorar las prácticas de gestión de la autenticación con credenciales específicas del sistema operativo local. Los cambios necesarios para la instalación, la actualización o las aplicaciones se están evaluando como soluciones.
  • BD Synapsys v4.20 SR2 se lanzará en junio de 2022 y corregirá esta vulnerabilidad. Los usuarios que reciban BD Synapsys v4.30 podrán actualizar a v5.10, que se espera que esté disponible en agosto de 2022.
Detalle
  • Algunos productos de BD Pyxis se instalaron con credenciales por defecto y un atacante podría explotar esta vulnerabilidad para obtener acceso privilegiado al sistema de archivos subyacente y obtener acceso a ePHI u otra información sensible. Se ha asignado el identificador CVE-2022-22767 para esta vulnerabilidad alta.
  • BD Synapsys es vulnerable debido a una caducidad de sesión insuficiente, lo que podría permitir a un atacante realizar la modificación de ePHI, PHI o PII. El resultado podría causar un retraso o un tratamiento incorrecto. Se ha asignado el identificador CVE-2022-30277 para esta vulnerabilidad media.

Encuesta valoración