CVE-2022-4992
HighCVSS 8.6Summary
Systemy monitorowania pacjentów Dräger Infinity Acute Care oraz samodzielne monitory Infinity M540 w wersjach VG4.1.1, VG4.0.3 i niższych (częściowo dotknięte VG4.2) zawierają podatność w obsłudze wiadomości sieciowych, która pozwala zdalnym atakującym na wstrzykiwanie sfałszowanych lub zmienionych danych oraz powodowanie warunków odmowy usługi. Atakujący mogą zmieniać ustawienia urządzenia, takie jak stany alarmów lub limity alarmów, lub przeciążać system nadmiernym ruchem sieciowym.
Risk Assessment
Podatność ta stwarza ryzyko dla organizacji, ponieważ może prowadzić do utraty funkcjonalności urządzeń medycznych oraz do nieprawidłowego działania alarmów, co może zagrażać bezpieczeństwu pacjentów.
Recommendation
Zaleca się aktualizację monitorów do najnowszych wersji oprogramowania oraz wdrożenie odpowiednich zabezpieczeń sieciowych, aby zminimalizować ryzyko ataków i zapewnić integralność komunikacji.
Original NVD description (English source)
Dräger Infinity Acute Care System and Standalone Infinity M540 patient monitors versions VG4.1.1, VG4.0.3, and lower (with VG4.2 partially affected) contain a network message handling vulnerability that allows remote attackers to inject spoofed or tampered data and cause denial-of-service conditions. Attackers can compromise network communications to modify device settings such as alarm states or alarm limits, or overwhelm the system with excessive network traffic causing the Cockpit or M540 to reboot and lose network functionality.

