BD Bodyguard – CVE-2022-43557
Date de publication :
L’absence de contrôle d’accès à l’interface RS-232 (port série) d’une pompe à perfusion BG Bodyguard, permet à un attaquant d’accéder aux paramétrages de l’équipement, et provoquer un dysfonctionnement ou la mise hors tension du matériel.
Informations
La faille est activement exploitée : Non
Un correctif existe : Non
Une mesure de contournement existe : Non
Déni de service.
Exploitation
La vulnérabilité exploitée est du type
CWE-1299: Missing Protection Mechanism for Alternate Hardware Interface.
Détails sur l’exploitation
Vecteur d’attaque : Local.
Complexité de l’attaque : Elevée.
Privilèges nécessaires pour réaliser l’attaque : Aucune.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Systèmes ou composants affectés
- BD BodyGuard
- CME BodyGuard 323 (2nd Edition)
- CME BodyGuard 323 Color Vision (2nd Edition)
- CME BodyGuard 323 Color Vision (3rd Edition)
- CME BodyGuard Twins (2nd Edition)
Solutions ou recommandations
Pour atténuer cette vulnérabilité, il est recommandé de :
- Mettre en place des contrôles d’accès aux équipements
- Autoriser seulement les personnels habilités à intervenir sur l’équipement
- S’assurer qu’aucun équipement n’est connecté à l’interface RS-232 lorsque la pompe est utilisée.
L’ensemble des recommandations sont disponibles sur le site du constructeur.