Des dispositifs médicaux sont vulnérables à l'attaque KRACK

Diverses versions du produit Pyxis de Becton Dickinson (BD), un système de gestion logistique des médicaments, sont vulnérables à l'attaque Wi-Fi Key-Reinstallation AttaCK (KRACK). Cette dernière résulte de vulnérabilités identifiées dans le hand-shake en quatre étapes des protocoles de sécurité Wi-Fi WPA et WPA2.

L'exploitation de ces vulnérabilités permettrait à un attaquant non authentifié à portée du signal Wi-Fi de mettre en oeuvre une attaque de type homme du milieu lui permettant d'intercepter des données et dans des cas particuliers, d'en injecter.

Informations
+

Impact

  • Atteinte à la confidentialité et l'intégrité des données.

Criticité

  • CVSS v3 : 6.8

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

Les versions suivantes des produits Pyxis de BD sont affectées :

  • BD Pyxis Anesthesia ES ;
  • BD Pyxis Anesthesia System 4000 ;
  • BD Pyxis Anesthesia System 3500 ;
  • BD Pyxis MedStation 4000 T2 ;
  • BD Pyxis MedStation ES ;
  • BD Pyxis SupplyStation ;
  • BD Pyxis Supply Roller ;
  • BD Pyxis ParAssist System ;
  • BD Pyxis PARx ;
  • BD Pyxis CIISafe – Workstation ;
  • BD Pyxis StockStation System ;
  • BD Pyxis Parx handheld.

CVE

  • CVE-2017-13077 ;
  • CVE-2017-13078 ;
  • CVE-2017-13079 ;
  • CVE-2017-13080 ;
  • CVE-2017-13081 ;
  • CVE-2017-13082 ;
  • CVE-2017-13086 ;
  • CVE-2017-13087 ;
  • CVE-2017-13088.

Recommandations
+

Correctifs

  • BD a publié des patchs corrigeant les vulnérabilités sur les produits affectés.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.