Vulnérabilité dans BD Alaris PC Unit

Date de publication :

Une vulnérabilité sur les moyens d'authentification réseaux du logiciel embarqué sur les unités PC Alaris du constructeur BD peut permettre d'effectuer un déni de service les machines vulnérables.

CVE-2020-25165[Score CVSS v3 : 6.5] Cette vulnérabilité réside dans une mauvaise implémentation des protocoles d'authentification réseaux des unités PC Alaris envers le gestionnaire de système BD Alaris Systems Manager. Cette faille peut permettre à un attaquant non-authentifié et distant mais connecté au réseau de l’hôpital d’effectuer un déni de service sur les fonctions réseaux de la machine vulnérable. L’exploitation de cette vulnérabilité ce fait par redirection des demandes d’identification de l’unité PC Alaris au système BD Alaris Systems Manager vers l’attaquant, ce dernier peut alors s’authentifier en modifiant les en-têtes d’authentification du message intercepté.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Déni de service

Criticité

  • Score CVSS v3 : 6.5

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est connu publiquement à ce jour

Composants vulnérables

  • BD Alaris PC Unit, Model 8015, (<=v9.33.1)
  • BD Alaris Systems Manager, (<=v4.33)

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour les composants suivants :

  • BD Alaris PC Unit, Model 8015, (>v9.33.1)

  • BD Alaris Systems Manager, (>v4.33)

Solution de contournement

  • Activer le pare-feu sur l'image du serveur Systems Manager et mettre en place des règles concernant les restrictions de port et de services, conformément au livre blanc sur la sécurité des produits de BD.

  • Si un pare-feu est intégré entre le segment de réseau du serveur et ses segments de réseau sans fil, mettre en œuvre une règle de pare-feu avec une liste de contrôle d'accès (ACL) qui restreint l'accès au segment de réseau sans fil via l'adresse MAC spécifique de la carte sans fil de la pompe. Cela limiterait l'accès au segment de réseau sans fil aux seuls appareils autorisés et ne permettrait pas à d'autres appareils de se connecter et de s'authentifier sur le segment.

  • BD Alaris Systems Manager doit fonctionner sur un réseau sécurisé derrière un pare-feu, être patché régulièrement et disposer d'une protection contre les logiciels malveillants.

  • Désactivez tous les comptes BD, protocoles et services inutiles sur les appareils vulnérables.

Liens