Becton, Dickinson & Company (BD) a identifié deux vulnérabilités modérées affectant des applications de ses systèmes Kiestra et InoquIA

Deux vulnérabilités de criticité moyenne ont été identifiées sur les applications ReadA, DB Manager et PerformA utilisées par systèmes BD Kiestra et InoqulA. Ces systèmes sont utilisés principalement dans le domaine de la santé pour automatiser certaines procédures réalisées en laboratoire. L'exploitation de ces vulnérabilités permettrait à un utilisateur autorisé ayant accès à un compte privilégié sur un système BD Kiestra, d'exécuter des requêtes SQL pouvant provoquer la perte ou la corruption des données présentes dans la base de données.

Informations
+

Impact

  • Atteinte à la confidentialité et à l'intégrité des données.

Criticité

  • CVSS v3 : 6.3 (Score CVSS de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

BD signale que ces vulnérabilités affectent les applications utilisées par les systèmes BD Kiestra suivants:

  • BD Kiestra TLA;
  • BD Kiestra WCA;
  • BD InoqulA+ specimen processor.

Ces trois systèmes BD Kiestra utilisent les applications vulnérables suivantes:

  • Database (DB) Manager, Version 3.0.1.0;
  • ReadA Overview, Version 1.1.0.2 et ses antérieures;
  • PerformA, Version 3.0.0.0 et les versions antérieures.

CVE

  • CVE-2018-10593
  • CVE-2018-10595

Recommandations
+

Correctifs

  • BD a l'intention de mettre en œuvre les mesures de correction nécessaires d'ici juillet 2018.
  • Ceci va inclure la suppression de la fonctionnalité permettant de déclencher des fonctions SQL dans DB Manager, PerformA et ReadA. 

Solution de contournement

  • BD a recommandé des mesures complémentaires pour réduire l'exposition aux risques liées à ces vulnérabilités. Elles sont détaillées sur l'avis ICS-CERT.US.