CVE-2020-25166

B. Braun SpaceCom, Battery Pack SP with Wi-Fi, and Data module compactplus

CVSS 7.6 HIGHEPSS 0.4%CWE-347

En resumen

Los dispositivos médicos B. Braun no verifican adecuadamente que las actualizaciones de firmware sean legítimas, permitiendo a atacantes crear actualizaciones falsas que pueden alterar el funcionamiento de los aparatos.

Detalle técnico

La vulnerabilidad CWE-347 involucra verificación inadecuada de firma criptográfica en actualizaciones de firmware de dispositivos B. Braun SpaceCom y Data module compactplus. Un atacante puede crear firmware malicioso con contenido arbitrario que pase la validación, permitiendo modificación no autorizada de los dispositivos. El ataque requiere capacidad de entregar el firmware malicioso al dispositivo, pero la explotación exitosa permite alteración del comportamiento del equipo médico.

Resumen generado y traducido por IA a partir de la descripción oficial.

An improper verification of the cryptographic signature of firmware updates of the B. Braun Melsungen AG SpaceCom Version L81/U61 and earlier, and the Data module compactplus Versions A10 and A11 allows attackers to generate valid firmware updates with arbitrary content that can be used to tamper with devices.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L

Productos afectados

B. Braun Melsungen AG · Battery pack with Wi-Fi B. Braun Melsungen AG · Data module compactplus B. Braun Melsungen AG · SpaceCom

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.bbraun.com/en/products-and-therapies/services/b-braun-vulnerability-disclosure-policy/security-advisory.html https://www.cisa.gov/uscert/ics/advisories/icsma-20-296-02