Omisión de aviso de acciones inseguras en sistemas BD Kiestra y InoquIA de Becton, Dickinson and Company (BD)
Los siguientes sistemas utilizan aplicaciones afectadas por las vulnerabilidades:
- BD Kiestra TLA
- BD Kiestra WCA
- Procesador de muestras BD InoqulA+
Las aplicaciones afectadas por las vulnerabilidades son:
- Database (DB) Manager, versión 3.0.1.0
- ReadA Overview, versión 1.1.0.2 y anteriores
- PerformA, versión 3.0.0.0 y anteriores
BD ha identificado dos vulnerabilidades de no advertencia de acciones no seguras en sistemas que afectan a los sistemas BD Kiestra y InoquIA. Un potencial atacante podría hacer que se perdieran o borraran datos.
BD tiene la intención de implementar las mitigaciones necesarias antes de julio de 2018. Esta mitigación incluirá la eliminación de la funcionalidad para activar las funciones SQL en DB Manager, PerformA y ReadA. Hasta que esto tenga lugar, BD recomienda los siguientes controles para reducir el riesgo asociado con estas vulnerabilidades:
- DB Manager:
- El personal de BD Kiestra Laboratory no debe utilizar las funciones SQL asociadas a la funcionalidad en los tres sistemas BD Kiestra: BD Kiestra TLA, BD Kiestra WCA y del procesador de muestras BD InoqulA +. Se recomienda no reutilizar los programas actuales a través de la función exportar-importar, sino configurar un nuevo programa o usar las plantillas de programa predefinidas.
- Asegurarse de que solo el personal autorizado y cualificado tenga derechos de control de acceso a todas las funciones en el DB Manager. Esto se puede configurar a través de la función 'Usuarios' en DB Manager.
- ReadA Overview: se recomienda a los usuarios que configuren la función 'Users' para todos los usuarios en 'none' para acceder a ReadA Overview, si la aplicación no se usa o no se usa habitualmente. Esto se puede configurar a través de la función 'Users' en DB Manager. Si es necesario el uso de ReadA Overview, se recomienda a los usuarios que se aseguren de que solo el personal autorizado y cualificado tengan derechos de control de acceso a todas las funciones en ReadA Overview. Esto se puede configurar a través de la función 'Users' en DB Manager.
- PerformA: se recomienda a los usuarios que garanticen el acceso a los servidores de BD Kiestra para su monitorización mientras se implementan las mejores prácticas de seguridad para evitar de manera efectiva el acceso no autorizado a los sistemas BD Kiestra.
Actualización 15/10/2018:
BD ha desarrollado una mitigación para evitar que los usuarios autorizados con acceso a una cuenta privilegiada en un sistema BD Kiestra activen funciones SQL. Esta mitigación también repara un conjunto limitado de datos de pacientes ePHI que pueden ser expuestos cuando un usuario privilegiado ejecuta una sentencia SQL seleccionada en la descripción general de ReadA. BD está en proceso de implementar la mitigación de forma remota o in situ, dependiendo de las preferencias del usuario.
Una vulnerabilidad en DB Manager y PerformA y en ReadA permitiría a un usuario autorizado con accesos elevados en el sistema BD Kiestra, usar comandos SQL que pueden resultan en una corrupción de datos. Se han reservado los identificadores CVE-2018-10593 y CVE-2018-10595 para estas vulnerabilidades.