[Actualización 27/06/2022] Vulnerabilidad en CAMS para HIS de Yokogawa
Fecha de publicación 27/05/2022
Identificador
INCIBE-2022-0770
Importancia
3 - Media
Recursos Afectados
- CENTUM series:
- CENTUM CS 3000 (incluido CENTUM CS 3000 Entry Class), versiones desde la R3.08.10 hasta la R3.09.00;
- CENTUM VP (incluido CENTUM VP Entry Class), versiones desde la R4.01.00 hasta la R4.03.00, desde la R5.01.00 hasta la R5.04.20 y desde la R6.01.00 hasta la R6.09.00;
- Exaopc, versiones desde la R3.72.00 hasta la R3.80.00, con NTPF100-S6 "For CENTUM VP Support CAMS for HIS" instalado;
- B/M9000CS, versiones desde la R5.04.01 hasta la R5.05.01, este producto solo se ve afectado por la existencia de CENTUM instalado en el mismo PC,
- B/M9000 VP, versiones desde la R6.01.01 hasta la R8.03.01, este producto solo se ve afectado por la existencia de CENTUM instalado en el mismo PC.
Descripción
Jacob Baines, de Dragos, Inc, ha reportado esta vulnerabilidad que podría permitir a un atacante deshabilitar las funciones de CAMS para HIS.
Solución
- CENTUM series:
- CENTUM CS 3000, versiones desde la R3.08.10 hasta la R3.09.00, CENTUM VP (incluido CENTUM VP Entry Class), versiones desde la R4.01.00 hasta la R4.03.00 y desde la R5.01.00 hasta la R5.04.20: al tratarse de productos fuera de su ciclo de vida, no hay parche disponible. Se aconseja actualizar a la última versión de CENTUM VP.
- CENTUM VP, versiones desde la R6.01.00 hasta la R6.09.00: obtener la versión R6.09.00 y aplicar la actualización R6.09.03.
- Exaopc, versiones desde la R3.72.00 hasta la R3.80.00: obtener la versión R3.80.00 y aplicar la actualización R3.80.01.
- B/M9000CS, versiones desde la R5.04.01 hasta la R5.05.01 y B/M9000 VP, versiones desde la R6.01.01 hasta la R8.03.01: si el CENTUM instalado en el mismo PC necesita actualizarse, actualice también B/M9000 a la revisión adecuada.
Detalle
Un atacante capaz de tener acceso a un ordenador con el producto instalado, podría falsificar los datos gestionados por otra CAMS para HIS, utilizando la cuenta y la contraseña almacenada en ese ordenador. También podría lanzar ataques de agotamiento de recursos para crear archivos innecesarios en otra CAM para HIS o inhabilitar las funciones de la CAMS para HIS.
[Actualización 27/06/2022] Se ha asignado el identificador CVE-2022-30707 para esta vulnerabilidad.
Listado de referencias
Etiquetas