CVE-2019-25722
HighCVSS 7.6Summary
Urządzenia monitorujące Dräger SC (SC 6002XL, SC 6802XL, SC 7000, SC 8000, SC 9000 XL) zawierają twardo zakodowane hasła w postaci niezaszyfrowanej w kodzie źródłowym oraz podatność na atak typu denial-of-service. Atakujący lokalny może wykorzystać te hasła do uzyskania dostępu do kont serwisowych i klinicznych oraz zmiany konfiguracji urządzenia, natomiast atakujący zdalny może wysyłać źle sformatowane pakiety sieciowe, co prowadzi do wielokrotnych restartów urządzenia.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla integralności urządzeń oraz ciągłości monitorowania pacjentów, co może prowadzić do zakłóceń w opiece zdrowotnej. Umożliwia to zarówno lokalnym, jak i zdalnym atakującym przejęcie kontroli nad urządzeniami.
Recommendation
Zaleca się natychmiastową aktualizację oprogramowania urządzeń oraz zmianę domyślnych haseł na silniejsze. Należy również wdrożyć odpowiednie zabezpieczenia sieciowe, aby zminimalizować ryzyko ataków zdalnych.
Original NVD description (English source)
Dräger SC Monitoring devices (SC 6002XL, SC 6802XL, SC 7000, SC 8000, SC 9000 XL) contain hard-coded plaintext credentials in source code and a denial-of-service vulnerability that allows local and remote attackers to compromise device integrity across all software versions. A local attacker with direct device access can use the hard-coded credentials to access service and clinical accounts and alter device configuration, while a remote attacker can send malformed network packets to cause repeated device reboots, ultimately resulting in loss of network connectivity and disruption of patient monitoring.

