CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2023-29064 – Hardcoded Secrets
https://notcve.org/view.php?id=CVE-2023-29064
The FACSChorus software contains sensitive information stored in plaintext. A threat actor could gain hardcoded secrets used by the application, which include tokens and passwords for administrative accounts. El software FACSChorus contiene información confidencial almacenada en texto plano. Un actor de amenazas podría obtener secretos codificados utilizados por la aplicación, que incluyen tokens y contraseñas para cuentas administrativas. • https://www.bd.com/en-us/about-bd/cybersecurity/bulletin/bd-facschorus-software • CWE-798: Use of Hard-coded Credentials •
CVSS: 2.4EPSS: 0%CPEs: 6EXPL: 0CVE-2023-29063 – Lack of DMA Access Protections
https://notcve.org/view.php?id=CVE-2023-29063
The FACSChorus workstation does not prevent physical access to its PCI express (PCIe) slots, which could allow a threat actor to insert a PCI card designed for memory capture. A threat actor can then isolate sensitive information such as a BitLocker encryption key from a dump of the workstation RAM during startup. La estación de trabajo FACSChorus no impide el acceso físico a sus ranuras PCI express (PCIe), lo que podría permitir que un actor de amenazas inserte una tarjeta PCI diseñada para la captura de memoria. Luego, un actor de amenazas puede aislar información confidencial, como una clave de cifrado BitLocker, de un volcado de la RAM de la estación de trabajo durante el inicio. • https://www.bd.com/en-us/about-bd/cybersecurity/bulletin/bd-facschorus-software • CWE-306: Missing Authentication for Critical Function CWE-1299: Missing Protection Mechanism for Alternate Hardware Interface •
CVSS: 3.8EPSS: 0%CPEs: 6EXPL: 0CVE-2023-29062 – Unsecure Identity Verification
https://notcve.org/view.php?id=CVE-2023-29062
The Operating System hosting the FACSChorus application is configured to allow transmission of hashed user credentials upon user action without adequately validating the identity of the requested resource. This is possible through the use of LLMNR, MBT-NS, or MDNS and will result in NTLMv2 hashes being sent to a malicious entity position on the local network. These hashes can subsequently be attacked through brute force and cracked if a weak password is used. This attack would only apply to domain joined systems. El sistema operativo que aloja la aplicación FACSChorus está configurado para permitir la transmisión de credenciales de usuario con hash tras la acción del usuario sin validar adecuadamente la identidad del recurso solicitado. • https://www.bd.com/en-us/about-bd/cybersecurity/bulletin/bd-facschorus-software • CWE-287: Improper Authentication •
CVSS: 5.2EPSS: 0%CPEs: 6EXPL: 0CVE-2023-29061 – Lack of Adequate BIOS Authentication
https://notcve.org/view.php?id=CVE-2023-29061
There is no BIOS password on the FACSChorus workstation. A threat actor with physical access to the workstation can potentially exploit this vulnerability to access the BIOS configuration and modify the drive boot order and BIOS pre-boot authentication. No existe una contraseña de BIOS en la estación de trabajo FACSChorus. Un actor de amenazas con acceso físico a la estación de trabajo puede explotar esta vulnerabilidad para acceder a la configuración del BIOS y modificar el orden de inicio de la unidad y la autenticación previa al inicio del BIOS. • https://www.bd.com/en-us/about-bd/cybersecurity/bulletin/bd-facschorus-software • CWE-306: Missing Authentication for Critical Function •
CVSS: 5.7EPSS: 0%CPEs: 6EXPL: 0CVE-2023-29060 – Lack of USB Whitelisting
https://notcve.org/view.php?id=CVE-2023-29060
The FACSChorus workstation operating system does not restrict what devices can interact with its USB ports. If exploited, a threat actor with physical access to the workstation could gain access to system information and potentially exfiltrate data. El sistema operativo de la estación de trabajo FACSChorus no restringe qué dispositivos pueden interactuar con sus puertos USB. Si se explota, un actor de amenazas con acceso físico a la estación de trabajo podría obtener acceso a la información del sistema y potencialmente filtrar datos. • https://www.bd.com/en-us/about-bd/cybersecurity/bulletin/bd-facschorus-software • CWE-306: Missing Authentication for Critical Function CWE-1299: Missing Protection Mechanism for Alternate Hardware Interface •