JVNVU#95979327
Boston Scientific製ZOOM LATITUDEにおける複数の脆弱性

Boston Scientific社が提供するZOOM LATITUDEには、複数の脆弱性が存在します。

• ZOOM LATITUDE Programmer/Recorder/Monitor (PRM) Model 3120

Boston Scientific社が提供するZOOM LATITUDEには、次の複数の脆弱性が存在します。

• 強度が不十分なパスワードハッシュの使用 (CWE-916) - CVE-2021-38400

  CVSS v3

  CVSS:3.1/AV:P/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:L

  基本値: 6.9

• 集積回路（IC）画像処理技術を用いたハードウェアリバースエンジニアリングに対する保護機能の欠如 (CWE-1278) - CVE-2021-38394

  CVSS v3

  CVSS:3.1/AV:P/AC:H/PR:N/UI:R/S:C/C:L/I:H/A:L

  基本値: 6.2

• 不適切なアクセス制御 (CWE-284) - CVE-2021-38392

  CVSS v3

  CVSS:3.1/AV:P/AC:L/PR:N/UI:R/S:C/C:L/I:H/A:L

  基本値: 6.5

• 完全性チェックの欠如 (CWE-353) - CVE-2021-38396

  CVSS v3

  CVSS:3.1/AV:P/AC:L/PR:N/UI:R/S:C/C:L/I:H/A:L

  基本値: 6.5

• 更新できないコンポーネントの使用 (CWE-1329) - CVE-2021-38398

  CVSS v3

  CVSS:3.1/AV:P/AC:L/PR:N/UI:R/S:C/C:L/I:H/A:L

  基本値: 6.5

想定される影響は各脆弱性により異なりますが、当該製品に物理アクセス可能な第三者によって、次のような影響を受ける可能性があります。

• パスワードハッシュを抽出され、当該システムのパスワードへのリバースブルートフォース攻撃に利用される - CVE-2021-38400
• 有効なハードウェアキーを複製され、当該製品の特別な設定にアクセスされる - CVE-2021-38394
• ハードディスクドライブにアクセスしてテレメトリ対象地域を変更され、世界中のあらゆる地域の埋め込み型デバイスに接続される - CVE-2021-38392
• 細工したUSBを使用され、不正なソフトウェアをインストールされる - CVE-2021-38396
• 当該製品で使用しているソフトウェアコンポーネントに含まれる既知の脆弱性を悪用され、当該製品を攻撃される - CVE-2021-38398

開発者によると、本脆弱性に対応するアップデートの予定は無く、セキュリティを強化した後継製品LATITUDE Programming System Model 3300への移行を進めているとのことです。

ワークアラウンドを実施する
開発者は、ZOOM LATITUDE PRM Model 3120を引き続き使用する場合、次のワークアラウンドを実施することを推奨しています。

• 当該製品へのアクセスを適切に制御、管理する
• 当該製品を使用しないときは、当該製品を安全な場所または施錠可能な場所に保管する
• 当該製品の使用停止、または装置からの取り外しを行う前にPHIを取り外す