Vulnérabilités dans la pompe à perfusion B. Braun

Contexte :

SpaceCom est la carte d’interface informatique du système de pompe Space. Celle-ci est installée dans une SpaceStation du système de commande à côté du lit du patient. Ces vulnérabilités peuvent impacter toutes les fonctionnalités de ce produit dont le trafic transite en  clair sur le réseau.

CVE-2021-33886 [Score CVSS v3.1: 8,1]
Titre officiel: Use of Externally-Controlled Format String

Cette vulnérabilité concerne un manque de vérification dans l’entrée des données. Un attaquant distant et non-authentifié peut exploiter cette vulnérabilité pour s’octroyer un accès au terminal de commande avec un niveau de droit d’utilisateur. L’attaquant doit être dans le même réseau que l’appareil ciblé.

 

CVE-2021-33885 [Score CVSS v3.1: 10]
Titre officiel: Insufficient Verification of Data Authenticity
Cette vulnérabilité concerne un manque de contrôle sur l’authenticité des données. Un attaquant distant et non-authentifié peut exploiter cette vulnérabilité pour introduire des données malveillantes qui seront utilisées à la place des données authentiques.

 

CVE-2021-33884 [Score CVSS v3.1: 9,1]
Titre officiel: Unrestricted Upload of File with Dangerous Type

Cette vulnérabilité est basée sur l’absence de restriction dans le téléchargement des fichiers.
Un attaquant distant peut exploiter cette vulnérabilité pour télécharger n’importe quel type de fichier vers le dossier /tmp de l’appareil via la page Web de l’API. Cela peut avoir comme conséquence la suppression par écrasement de données critiques.

 

CVE-2021-33883 [Score CVSS v3.1: 5,9]
Titre officiel: Cleartext Transmission of Sensitive Information

Cette vulnérabilité concerne la transmission en clair de textes contenant des données sensibles. Dans ces transmissions se trouvent des valeurs critiques pour la configuration des pompes. Un attaquant peut exploiter cette vulnérabilité, en écoutant le trafic (snooping/sniffing), pour récupérer des données sensibles.

 

CVE-2021-33882 [Score CVSS v3.1: 8,6]
Titre officiel: Missing Authentication for Critical Function

Cette vulnérabilité concerne un manque d’authentification des fonctions critiques.
Un attaquant distant peut exploiter cette vulnérabilité pour reconfigurer l’appareil à partir d’une source inconnue.

Informations
+

Risques

  • Injection de commande
  • Contournement de sécurité
  • Compromission du programme
  • Détournement du programme
  • Vol de données
  • Téléchargement de programme malveillant

Criticité

  • Score CVSS v3.1: 10 max

CVE

Composants vulnérables.

Concernant la vulnérabilité CVE-2021-33886 :

  • Les versions précédant B.Braun SpaceCom2 012U000062

Concernant la vulnérabilité CVE-2021-33885 :

  • Les versions précédant B.Braun SpaceCom2 012U000062

Concernant la vulnérabilité CVE-2021-33884 :

  • Les versions précédant B.Braun SpaceCom2 012U000062

Concernant la vulnérabilité CVE-2021-33883 :

  • Les versions précédant B.Braun SpaceCom2 012U000062

Concernant la vulnérabilité CVE-2021-33882 :

  • Les versions précédant B.Braun SpaceCom2 012U000062

Recommandations
+

Pour toutes ces vulnérabilités:

  • Il est conseillé de mettre en oeuvre la fonction qui permet à la pompe d'ignorer les demandes alors qu'elle administre déjà des médicaments,
  • Le personnel soignant doit aussi vérifier la posologie et les niveaux de médicaments avant de régler quoi que ce soit pour plus de sécurité sanitaire.

Concernant la vulnérabilité CVE-2021-33886 :

  • Effectuer la mise à jour vers la version 012U000062, ou les versions plus récentes.

Concernant la vulnérabilité CVE-2021-33885 :

  • Effectuer la mise à jour vers la version 012U000062, ou les versions plus récentes.

Concernant la vulnérabilité CVE-2021-33884 :

  • Effectuer la mise à jour vers la version 012U000062, ou les versions plus récentes.

Concernant la vulnérabilité CVE-2021-33883 :

  • Effectuer la mise à jour vers la version 012U000062, ou les versions plus récentes.

Concernant la vulnérabilité CVE-2021-33882 :

  • Effectuer la mise à jour vers la version 012U000062, ou les versions plus récentes.