El investigador Billy Rios ha informado de varias
vulnerabilidades en CareFusion’s Pyxis SupplyStation que podrían permitir a un
atacante comprometer el sistema de forma remota, catalogadas de Importancia: 5
- Crítica
Recursos afectados
· Pyxis
SupplyStation system 8.1 (software de la herramienta de prueba de hardware
versión 1.0.15 y anteriores)
Detalle e impacto de la
vulnerabilidades
Se han reportado las siguientes vulnerabilidades:
1)
El
sistema Pyxis SupplyStation contiene una contraseña embebida que otorga
privilegios de administrador, lo que podría provocar que un atacante remoto
comprometiera el dispositivo. Se ha reservado el identificador CVE-2014-5422.
2)
Debido
a que el sistema Pyxis SupplyStation utiliza una contraseña embebida para el
acceso a la base de datos que captura las transacciones, y que los procesos de
la base de datos se ejecutan con permisos de usuario con privilegios, un
atacante con acceso físico al sistema podría comprometerlo y eliminar todo el
contenido. Se ha reservado el identificador CVE-2014-5421.
3)
El
sistema Pyxis SupplyStation utiliza una cuenta embebida que otorga el acceso a
ficheros de la aplicación. Se ha reservado el identificador CVE-2014-5420.
4) El sistema Pyxis SupplyStation
incluye ficheros de debug y otros de desarrollo que pueden facilitar
información acerca del código de la aplicación y exponer vulnerabilidades del
sistema. Se ha reservado el identificador CVE-2014-5423.
Recomendación
· CareFusion
ha publicado una nueva versión (1.0.16) del software de la herramienta de
prueba de hardware que soluciona tres de las cuatro vulnerabilidades, y que ha
sido instalada remotamente en los sistemas afectados de acuerdo al contrato de
servicio de soporte remoto.
· La
vulnerabilidad CVE-2014-5421 no ha sido corregida ya que requiere acceso físico
al dispositivo.
Más información
Fuente:
INTECO