Skip to main content

Argitalpen data: 2021/12/22

Garrantzia:Altua

Kaltetutako baliabideak:

  • vD25 bonbaren eta lehenagokoen Wi-Fi Agilia Connect modulua;
  • Agilia Link v3.0 D15 eta lehenagokoak;
  • Vigilant Software Suite v1.0: Vigilant Centerium, Vigilant MasterMed eta Vigilant Insight;
  • Agilia Partner mantenu softwarea, v3.3.0 eta lehenagokoak.

Azalpena:

Hainbat ikertzailek 13 ahultasunen berri eman diote BSIri (Alemaniako Informazioaren Segurtasuneko Bulego Federala): 6 larritasun altukoak eta 7 ertainekoak. Erasotzaile batek haiek balia litzake eta era ezberdinetako ekintzak egin, esate baterako: baliabideen kontrolik gabeko kontsumoa, segurua ez den algoritmo kriptografikoaren erabilpena, babes nahikorik gabeko kredentzialak, sarbidearen kontrol desegokia, pasahitz bat testu lauan gordetzea, kanpoko zatientzat eskuragarri dauden fitxategi edo direktorioak, direktorioen zerrenden bitartez informazioaren agerpena, XSS, injekzioa, kodetutako kredentzialen erabilpena, autentifikazioaren erabilpena bezeroaren aldean eta mantenurik gabeko hirugarrenen osagaien erabilpena.

Konponbidea:

Honako bertsio hauetara eguneratzea:

  • Link v3.0 D16 edo ondorengoak;
  • VSS v1.0.3 edo ondorengoak;
  • Agilia Connect Pumps Wifi Module D29 edo ondorengoak;
  • Agilia Connect Partner v3.3.2 edo ondorengoak.

Xehetasuna:

  • Eskaerak erabil litezke gailuaren funtzionamendu normala eteteko. Baliatzen denean, Agilia Link berrabiatu egin beharra dago hard reset baten bidez, rack-aren sisteman botoi bat sakatzean aktibatuta. Larritasun altuko ahultasun horretarako CVE-2021-23236 identifikatzailea erabili da.
  • Agilia Link-en kudeaketa interfazeak ez du ezartzen garraioko geruzaren zifratua. Hortaz, transmititutako datuak testu argian bidaliak izan litezke. Garraio geruzaren zifratua TCP/443 atakan eskaintzen da, baina kaltetutako zerbitzuak ez du zifratu gabeko zerbitzuaren birbidaltze automatiko bat egiten TCP/80 atakan zifratutako zerbitzura. Larritasun altuko ahultasun horretarako CVE-2021-41835 identifikatzailea erabili da.
  • Agilia Link-eko web aplikazioak saioen autentifikazioa eta kudeaketa bezeroaren aldean soilik ezartzen ditu, eta ez ditu modu nahikoan babesten autentifikazio atributuak. Larritasun altuko ahultasun horretarako CVE-2021-23196 identifikatzailea erabili da.
  • Inolako autentifikazio informaziorik gabe lor liteke sartzea endpoints sentikorretara, esate baterako saio cookiea. Erasotzaile batek autentifikatu gabeko erabiltzaile bat balitz bezala eskaerak bidal litzake endpoints sentikorretara, Agilia Link-en ekintza kritikoak egiteko edo konfigurazio parametro kritikoak aldatzeko. Larritasun altuko ahultasun horretarako CVE-2021-23233 identifikatzailea erabili da.
  • Vigilant MasterMed aplikazioak ahalbidetu lezake erabiltzailearen sarreraren baliozkotzea bezeroaren aldean, zerbitzariaren aldetik autentifikatu gabe. Zerbitzariak ez du datuen zuzentasunaz fidatu behar erabiltzaileek agian ez dutelako jasaten JavaScript edo hori blokeatu dezaketelako, edo bezeroaren aldeko kontrolak nahita saihestu nahi izan ditzaketelako. Zerbitzuaren erabiltzailearen ezagutza daukan erasotzaile batek kontrola saihets lezake bezeroaren aldean eta saioa hasi zerbitzuaren pribilegioekin. Larritasun altuko ahultasun horretarako CVE-2021-43355 identifikatzailea erabili da.
  • Kaltetutako sistemak ExpertPdf liburutegia eta lighttpd web zerbitzaria erabiltzen ditu, eguneratu gabe daudenak. Eguneratu gabe dagoen softwareak publikoki ezagunak ez diren ahultasunak izan litzake, baina erasotzaile baten aldetik alderantzizko ingeniaritzaren bidez baliatuak izan litezke. Larritasun altuko ahultasun horretarako CVE-2020-35340 identifikatzailea erabili da.

Larritasun baxuko gainerako ahultasunetarako honako identifikatzaileak esleitu dira: CVE-2021-31562, CVE-2021-23207, CVE-2021-33843, CVE-2021-23195, CVE-2021-33848, CVE-2021-44464 eta CVE-2021-33846.

Encuesta valoración

Etiketak:Eguneraketa, Azpiegitura kritikoak, Osasuna, Ahultasuna

Partekatu

Linkedin partekatu