Уязвимость BDU:2022-04761

Дата: 07.01.2022. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-04761.

Наименование уязвимости: Уязвимость решений для управления лекарствами и расходными материалам Becton Dickinson (BD) Pyxis, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить несанкционированный доступ к электронной защищенной медицинской информации (ePHI).

Описание уязвимости: Уязвимость решений для управления лекарствами и расходными материалам Becton Dickinson (BD) Pyxis связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к электронной защищенной медицинской информации (ePHI)
Уязвимое ПО: ПО программно-аппаратного средства Becton Dickinson (BD) BD Pyxis Anesthesia Station ES — | ПО программно-аппаратного средства Becton Dickinson (BD) BD Pyxis CIISafe — | ПО программно-аппаратного средства Becton Dickinson (BD) BD Pyxis Logistics — | ПО программно-аппаратного средства Becton Dickinson (BD) BD Pyxis MedBank — | ПО программно-аппаратного средства Becton Dickinson (BD) BD Pyxis MedStation 4000 — | ПО программно-аппаратного средства Becton Dickinson (BD) BD Pyxis MedStation ES — | ПО программно-аппаратного средства Becton Dickinson (BD) BD Pyxis MedStation ES Server — | ПО программно-аппаратного средства Becton Dickinson (BD) BD Pyxis ParAssist — | ПО программно-аппаратного средства Becton Dickinson (BD) BD Pyxis Rapid Rx — | ПО программно-аппаратного средства Becton Dickinson (BD) BD Pyxis StockStation — | ПО программно-аппаратного средства Becton Dickinson (BD) BD Pyxis SupplyCenter — | ПО программно-аппаратного средства Becton Dickinson (BD) BD Pyxis SupplyRoller — | ПО программно-аппаратного средства Becton Dickinson (BD) BD Pyxis SupplyStation — | ПО программно-аппаратного средства Becton Dickinson (BD) BD Pyxis SupplyStation EC — | ПО программно-аппаратного средства Becton Dickinson (BD) BD Pyxis SupplyStation RF auxiliary — | ПО программно-аппаратного средства Becton Dickinson (BD) BD Rowa Dose — |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 07.01.2022.
CVSS 2.0: AV:A/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Использование рекомендаций:
https://cybersecurity.bd.com/bulletins-and-patches/bd-pyxis-products-default-credentials

Организационные меры:
Becton Dickinson (BD) рекомендует следующие компенсирующие меры для клиентов, использующих продукты BD Pyxis:
1) Ограничьте физический доступ только авторизованным персоналом;
2) Жестко контролируйте управление системными паролями, предоставляемыми авторизованным пользователям;
3) Отслеживайте и регистрируйте сетевой трафик, пытающийся получить доступ к уязвимым продуктам, на предмет подозрительной активности;
4) Изолируйте затронутые продукты в защищенной виртуальной локальной сети или за брандмауэрами с ограниченным доступом, который разрешает связь только с доверенными хостами в других сетях, когда это необходимо;
5) Обратитесь в местную службу поддержки BD, чтобы обеспечить актуальность исправлений и определений вирусов. Решение BD Remote Support Services Solution для автоматического исправления и управления определениями вирусов доступно для учетных записей клиентов.
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-22767.

Тип ошибки CWE: CWE-262, CWE-522, CWE-798
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.cisa.gov/uscert/ics/advisories/icsma-22-151-01
https://nvd.nist.gov/vuln/detail/CVE-2022-22767
https://vuldb.com/ru/?id.201109
https://cybersecurity.bd.com/bulletins-and-patches/bd-pyxis-products-default-credentials

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *