B. Braun Battery Pack SP L90/L92 Web Server erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.3 | $25k-$100k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in B. Braun Battery Pack SP L90/L92 ausgemacht. Sie wurde als sehr kritisch eingestuft. Das betrifft eine unbekannte Funktionalität der Komponente Web Server. Die Manipulation führt zu einer unbekannten Schwachstelle. Diese Sicherheitslücke ist unter CVE-2023-0888 bekannt. Der Angriff kann im lokalen Netzwerk erfolgen. Es steht kein Exploit zur Verfügung.
Details
Es wurde eine sehr kritische Schwachstelle in B. Braun Battery Pack SP L90/L92 entdeckt. Hiervon betroffen ist ein unbekannter Codeblock der Komponente Web Server. Im Rahmen von CWE wurde eine Klassifizierung als CWE-95 vorgenommen. Es ist nicht genau bekannt, welche Auswirkungen ein erfolgreicher Angriff haben wird. CVE fasst zusammen:
An improper neutralization of directives in dynamically evaluated code vulnerability in the WiFi Battery embedded web server in versions L90/U70 and L92/U92 can be used to gain administrative access to the WiFi communication module. An authenticated user, having access to both the medical device WiFi network (such as a biomedical engineering staff member) and the specific B.Braun Battery Pack SP with WiFi web server credentials, could get administrative (root) access on the infusion pump communication module. This could be used as a vector to start further attacksDie Schwachstelle wurde am 13.03.2023 publik gemacht. Die Verwundbarkeit wird seit dem 17.02.2023 unter CVE-2023-0888 geführt. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $25k-$100k kostet (Preisberechnung vom 04.04.2023).
Als 0-Day erzielte der Exploit wohl etwa $25k-$100k auf dem Schwarzmarkt.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Once again VulDB remains the best source for vulnerability data.
Produkt
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.3
VulDB Base Score: 6.8
VulDB Temp Score: 6.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.2
NVD Vector: 🔍
CNA Base Score: 4.9
CNA Vector (B. Braun SE): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-95 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
17.02.2023 🔍13.03.2023 🔍
13.03.2023 🔍
04.04.2023 🔍
Quellen
Advisory: bbraun.comStatus: Nicht definiert
CVE: CVE-2023-0888 (🔍)
GCVE (CVE): GCVE-0-2023-0888
GCVE (VulDB): GCVE-100-222876
Eintrag
Erstellt: 13.03.2023 12:32Aktualisierung: 04.04.2023 16:01
Anpassungen: 13.03.2023 12:32 (46), 04.04.2023 15:54 (1), 04.04.2023 16:01 (12)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.