公開日:2020/09/15 最終更新日:2020/09/15

JVNVU#90214301
複数の Philips 製品に脆弱性

概要

Philips 社が提供する複数の製品には、脆弱性が存在します。

影響を受けるシステム

影響を受ける製品およびバージョンは各脆弱性により異なります。

  • CVE-2020-16212
    • Patient Information Center iX (PICiX) Versions B.02, C.02, C.03
  • CVE-2020-16214
    • Patient Information Center iX (PICiX) Versions B.02, C.02, C.03
  • CVE-2020-16216
    • IntelliVue patient monitors MX100, MX400 から 550, MX600, MX700, MX750, MX800, MX850, MP2-MP90
    • IntelliVue X2 および X3 Versions N およびそれ以前
  • CVE-2020-16218
    • Patient Information Center iX (PICiX) Versions B.02, C.02, C.03
  • CVE-2020-16220
    • Patient Information Center iX (PICiX) Versions C.02, C.03
    • PerformanceBridge Focal Point Version A.01
  • CVE-2020-16222
    • Patient Information Center iX (PICiX) Versions B.02, C.02, C.03
    • PerformanceBridge Focal Point Version A.01
  • CVE-2020-16224
    • Patient Information Center iX (PICiX) Versions C.02, C.03
  • CVE-2020-16228
    • Patient Information Center iX (PICiX) Versions C.02, C.03
    • PerformanceBridge Focal Point Version A.01
    • IntelliVue patient monitors MX100, MX400 から 550, MX750, MX850
    • IntelliVue X3 Versions N およびそれ以前

詳細情報

Philips が提供する複数の製品には、次の複数の脆弱性が存在します。

  • 誤った領域へのリソースの漏えい (CWE-668) - CVE-2020-16212
    CVSS v3 CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 6.8
  • CSV ファイルにおける、外部入力値の不適切な無害化処理 (CWE-1236) - CVE-2020-16214
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N 基本値: 4.2
  • 不適切な入力値検証 (CWE-20) - CVE-2020-16216
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 6.5
  • クロスサイトスクリプティング (CWE-79) - CVE-2020-16218
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N 基本値: 3.5
  • 入力値に対する不適切な構文検証 (CWE-1286) - CVE-2020-16220
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L 基本値: 3.5
  • 不適切な認証 (CWE-287) - CVE-2020-16222
    CVSS v3 CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 5.0
  • 長さパラメータの不整合時の不適切な取り扱い (CWE-130) - CVE-2020-16224
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 6.5
  • 失効した証明書の検証不備(CWE-299) - CVE-2020-16228
    CVSS v3 CVSS:3.1/AV:A/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:L 基本値: 6.0

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 第三者に意図しないリソースへ不適切なアクセスをされる。結果として、Surveillance station 上のアプリケーションの単一用途モード (キオスクモード) の制限を解除される - CVE-2020-16212
  • 特定の外部入力値を無害化せずに CSV に出力しているため、細工された値を含む CSV をユーザが表計算ソフトウェアで開くと、コマンドが実行される - CVE-2020-16214
  • 入力値の検証に不備があり、不正な入力値によりシステムを再起動されサービス運用妨害 (DoS) 攻撃を受ける - CVE-2020-16216
  • Web ページの生成に用いられる情報に不正なスクリプトが注入され、患者のデータが漏えいする - CVE-2020-16218
  • 入力値に対する構文検証に不備があり、新しい機器を登録する際の証明書登録時にシステムがクラッシュする。その結果、システムに新しい機器を登録することができなくなる - CVE-2020-16220
  • 第三者が ID を持っていると主張した場合、その主張が誤りであることを十分に証明できない - CVE-2020-16222
  • データ長を示す値が実際のデータの長さと一致しない場合、Surveillance station 上のアプリケーションが強制的に再起動させられる - CVE-2020-16224
  • 証明書失効の確認処理が不適切なため、失効した証明書を使用される - CVE-2020-16228

対策方法

2020年9月14日現在、修正済みのバージョンは提供されていません。Philips によると、以下のスケジュールで本脆弱性に対応した次のバージョンのリリースが予定しているとのことです。

  • Patient Information Center iX (PICiX) Version C.03 2020年末リリース予定
  • PerformanceBridge Focal Point 2021年第2四半期リリース予定
  • IntelliVue Patient Monitors Versions N.00 および N.01 2021年第1四半期リリース予定
  • IntelliVue Patient Monitors Version M.04 2021年末リリース予定
  • 証明書失効機能 2023年実装予定
ワークアラウンドを実施する
  • Philips patient monitoring 内のネットワークは病院内の LAN から物理的もしくは論理的に分離する
  • Simple certificate enrollment protocol (SCEP) サービスは、新たな機器を登録するときだけ実行および公開する
  • SCEP を使用して新しい機器を登録するときは、パスワードに予測が難しい 8-12文字のランダムな数字列を用いる
  • 未認証のユーザによる PIC iX アプリケーションへログインを防ぐため、サーバを入退室が管理されたデータセンターに設置し、ナースステーションに設置された装置へのアクセスを適切に管理・監視する等、物理的なアクセス制限を実施する
  • PIC iX サーバへのリモートアクセスを許可制にする
  • ベッドサイドモニターとPIC iXアプリケーションへのログインは、必要最小限の権限を付与し、信頼できるユーザーのみに制限する

ベンダ情報

ベンダ リンク
Philips Philips product security website

参考情報

  1. ICS Medical Advisory (ICSMA-20-254-01)
    Philips Patient Monitoring Devices

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-16212
CVE-2020-16214
CVE-2020-16216
CVE-2020-16218
CVE-2020-16220
CVE-2020-16222
CVE-2020-16224
CVE-2020-16228
JVN iPedia