CVE-2020-25166

B. Braun SpaceCom, Battery Pack SP with Wi-Fi, and Data module compactplus

CVSS 7.6 HIGHEPSS 0.4%CWE-347

Em resumo

Dispositivos médicos B. Braun não verificam adequadamente se as atualizações de firmware são legítimas, permitindo que atacantes criem atualizações falsas que podem alterar o funcionamento dos aparelhos.

Detalhe técnico

A falha CWE-347 envolve verificação inadequada de assinatura criptográfica em atualizações de firmware dos dispositivos B. Braun SpaceCom e Data module compactplus. Um atacante pode criar firmware malicioso com conteúdo arbitrário que passa na validação, permitindo modificação não autorizada dos dispositivos. O ataque requer capacidade de entregar o firmware malicioso ao dispositivo, mas a exploração bem-sucedida permite alteração do comportamento do equipamento médico.

Resumo gerado e traduzido por IA a partir da descrição oficial.

An improper verification of the cryptographic signature of firmware updates of the B. Braun Melsungen AG SpaceCom Version L81/U61 and earlier, and the Data module compactplus Versions A10 and A11 allows attackers to generate valid firmware updates with arbitrary content that can be used to tamper with devices.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L

Produtos afetados

B. Braun Melsungen AG · Battery pack with Wi-Fi B. Braun Melsungen AG · Data module compactplus B. Braun Melsungen AG · SpaceCom

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://www.bbraun.com/en/products-and-therapies/services/b-braun-vulnerability-disclosure-policy/security-advisory.html https://www.cisa.gov/uscert/ics/advisories/icsma-20-296-02