公開日:2022/03/04 最終更新日:2022/03/04
JVNVU#96854096
複数のBecton, Dickinson and Company製品におけるハードコードされた認証情報使用の脆弱性
Becton, Dickinson and Company(BD)社が提供する複数の製品には、ハードコードされた認証情報使用の脆弱性が存在します。
CVE-2022-22765
- BD Viper LT system バージョン 2.0およびそれ以降
- BD Pyxis Anesthesia Station ES
- BD Pyxis Anesthesia Station 4000
- BD Pyxis CATO
- BD Pyxis CIISafe
- BD Pyxis Inventory Connect
- BD Pyxis IV Prep
- BD Pyxis JITrBUD
- BD Pyxis KanBan RF
- BD Pyxis Logistics
- BD Pyxis Med Link Family
- BD Pyxis MedBank
- BD Pyxis MedStation 4000
- BD Pyxis MedStation ES
- BD Pyxis MedStation ES Server
- BD Pyxis ParAssist
- BD Pyxis PharmoPack
- BD Pyxis ProcedureStation (including EC)
- BD Pyxis Rapid Rx
- BD Pyxis StockStation
- BD Pyxis SupplyCenter
- BD Pyxis SupplyRoller
- BD Pyxis SupplyStation (including RF, EC, CP)
- BD Pyxis Track and Deliver
- BD Rowa Pouch Packaging Systems
BD社が提供する複数の製品には、次の複数の脆弱性が存在します。
- ハードコードされた認証情報の使用 (CWE-798) - CVE-2022-22765
CVSS v3 CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L 基本値: 8.0 - ハードコードされた認証情報の使用 (CWE-798) - CVE-2022-22766
CVSS v3 CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.0
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 第三者によって、機密情報へのアクセス、変更、削除をされる - CVE-2022-22765
- ユーザによって、機密情報にアクセスされる - CVE-2022-22766
2022年3月4日現在、本脆弱性への対策は提供されていません。
BD社によると、CVE-2022-22765はBD Viper LT system Version 4.80 ソフトウェアリリースで修正予定、CVE-2022-22766はBDPyxisデバイスの認証情報管理機能を強化中とのことです。
ワークアラウンドを実施する
BD社は、次のワークアラウンドの適用を推奨しています。
- CVE-2022-22765
- 物理的なアクセス制御を行い、許可されたエンドユーザだけがBD Viper LT systemにアクセスできるようにする
- 可能であれば、BD Viper LT systemをネットワークアクセスから切り離す
- BD Viper LT systemをネットワークに接続する必要がある場合は、業界標準のネットワークセキュリティポリシーと手順に従っていることを確認する
- CVE-2022-22766
- デバイスへの物理的なアクセスを許可された担当者のみに制限する
- 許可されたユーザーに提供されるBD Pyxisシステム認証情報の管理を厳密に制御する
- 当該製品を安全なVLAN内、または適切にアクセス制限されたファイアウォール内に隔離する
- 当該製品への怪しいネットワークトラフィックをすべて監視し記録する
- すべてのパッチとウイルスの定義を最新にする
| ベンダ | リンク |
| Becton, Dickinson and Company (BD) | BD Viper LT system – Hardcoded Credentials |
| BD Pyxis Products - Hardcoded Credentials |
