JVNVU#90214301
複数の Philips 製品に脆弱性

Philips 社が提供する複数の製品には、脆弱性が存在します。

影響を受ける製品およびバージョンは各脆弱性により異なります。

• CVE-2020-16212
  • Patient Information Center iX (PICiX) Versions B.02, C.02, C.03
• CVE-2020-16214
  • Patient Information Center iX (PICiX) Versions B.02, C.02, C.03
• CVE-2020-16216
  • IntelliVue patient monitors MX100, MX400 から 550, MX600, MX700, MX750, MX800, MX850, MP2-MP90
  • IntelliVue X2 および X3 Versions N およびそれ以前
• CVE-2020-16218
  • Patient Information Center iX (PICiX) Versions B.02, C.02, C.03
• CVE-2020-16220
  • Patient Information Center iX (PICiX) Versions C.02, C.03
  • PerformanceBridge Focal Point Version A.01
• CVE-2020-16222
  • Patient Information Center iX (PICiX) Versions B.02, C.02, C.03
  • PerformanceBridge Focal Point Version A.01
• CVE-2020-16224
  • Patient Information Center iX (PICiX) Versions C.02, C.03
• CVE-2020-16228
  • Patient Information Center iX (PICiX) Versions C.02, C.03
  • PerformanceBridge Focal Point Version A.01
  • IntelliVue patient monitors MX100, MX400 から 550, MX750, MX850
  • IntelliVue X3 Versions N およびそれ以前

Philips が提供する複数の製品には、次の複数の脆弱性が存在します。

• 誤った領域へのリソースの漏えい (CWE-668) - CVE-2020-16212

  CVSS v3

  CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 6.8

• CSV ファイルにおける、外部入力値の不適切な無害化処理 (CWE-1236) - CVE-2020-16214

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

  基本値: 4.2

• 不適切な入力値検証 (CWE-20) - CVE-2020-16216

  CVSS v3

  CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

  基本値: 6.5

• クロスサイトスクリプティング (CWE-79) - CVE-2020-16218

  CVSS v3

  CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

  基本値: 3.5

• 入力値に対する不適切な構文検証 (CWE-1286) - CVE-2020-16220

  CVSS v3

  CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L

  基本値: 3.5

• 不適切な認証 (CWE-287) - CVE-2020-16222

  CVSS v3

  CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

  基本値: 5.0

• 長さパラメータの不整合時の不適切な取り扱い (CWE-130) - CVE-2020-16224

  CVSS v3

  CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

  基本値: 6.5

• 失効した証明書の検証不備(CWE-299) - CVE-2020-16228

  CVSS v3

  CVSS:3.1/AV:A/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:L

  基本値: 6.0

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 第三者に意図しないリソースへ不適切なアクセスをされる。結果として、Surveillance station 上のアプリケーションの単一用途モード (キオスクモード) の制限を解除される - CVE-2020-16212
• 特定の外部入力値を無害化せずに CSV に出力しているため、細工された値を含む CSV をユーザが表計算ソフトウェアで開くと、コマンドが実行される - CVE-2020-16214
• 入力値の検証に不備があり、不正な入力値によりシステムを再起動されサービス運用妨害 (DoS) 攻撃を受ける - CVE-2020-16216
• Web ページの生成に用いられる情報に不正なスクリプトが注入され、患者のデータが漏えいする - CVE-2020-16218
• 入力値に対する構文検証に不備があり、新しい機器を登録する際の証明書登録時にシステムがクラッシュする。その結果、システムに新しい機器を登録することができなくなる - CVE-2020-16220
• 第三者が ID を持っていると主張した場合、その主張が誤りであることを十分に証明できない - CVE-2020-16222
• データ長を示す値が実際のデータの長さと一致しない場合、Surveillance station 上のアプリケーションが強制的に再起動させられる - CVE-2020-16224
• 証明書失効の確認処理が不適切なため、失効した証明書を使用される - CVE-2020-16228

アップデートする
開発者は、以下のアップデートを提供しています。

• Patient Information Center iX (PICiX) Version C.03
• PerformanceBridge Focal Point
• IntelliVue Patient Monitors Versions N.00 および N.01
• IntelliVue Patient Monitors Version M.04
  • アップグレードについては Philips Customer Service Solutions にお問い合わせください。
• 証明書失効機能は、PIC iXおよびPerformance Bridge FocalPointに対して実装されています。
  The implementation of the IntelliVue Patient Monitorsについては2024年第3四半期にリリース予定です。

• Philips patient monitoring 内のネットワークは病院内の LAN から物理的もしくは論理的に分離する
• Simple certificate enrollment protocol (SCEP) サービスは、新たな機器を登録するときだけ実行および公開する
• SCEP を使用して新しい機器を登録するときは、パスワードに予測が難しい 8-12文字のランダムな数字列を用いる
• 未認証のユーザによる PIC iX アプリケーションへログインを防ぐため、サーバを入退室が管理されたデータセンターに設置し、ナースステーションに設置された装置へのアクセスを適切に管理・監視する等、物理的なアクセス制限を実施する
• PIC iX サーバへのリモートアクセスを許可制にする
• ベッドサイドモニターと PIC iX アプリケーションへのログインは、必要最小限の権限を付与し、信頼できるユーザーのみに制限する