公開日:2020/06/19 最終更新日:2020/07/15

JVNVU#91499991
複数の Baxter 製品に脆弱性

概要

複数の Baxter 製品には脆弱性があります。

影響を受けるシステム

以下の製品が影響を受けます。
 
Baxter ExactaMix
  • ExactaMix EM2400 Versions 1.10、1.11、1.13 および 1.14
  • ExactaMix EM1200 Versions 1.1、1.2、1.4 および 1.5
 
Baxter PrismaFlex and PrisMax
  • PrismaFlex のすべてのバージョン
  • PrisMax 3.x 以前のすべてのバージョン
 
Baxter Phoenix Hemodialysis Delivery System
  • Phoenix Hemodialysis Delivery System SW 3.36 および 3.40
 
Baxter Sigma Spectrum Infusion Pumps
  • Sigma Spectrum v6.x model 35700BAX
  • Baxter Spectrum v8.x model 35700BAX2
  • Sigma Spectrum v6.x with Wireless Battery Modules v9, v11、v13、v14、v15、v16、v20D29、v20D30、v20D31 および v22D24
  • Baxter Spectrum v8.x with Wireless Battery Modules v17、v20D29、v20D30、v20D31 および v22D24
  • Baxter Spectrum Wireless Battery Modules v17、v20D29、v20D30、v20D31 および v22D24
  • Baxter Spectrum LVP v8.x with Wireless Battery Modules v17、v20D29、v20D30、v20D31 および v22D24
 

詳細情報

Baxter が提供する複数の製品には、次の脆弱性が存在します。

Baxter ExactaMix

  • ハードコードされたパスワードの使用 (CWE-259) - CVE-2020-12016
    CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 8.1
  • ハードコードされたパスワードの使用 (CWE-259) - CVE-2020-12012
    CVSS v3 CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 6.8
  • 重要な情報の平文での送信 (CWE-319) - CVE-2020-12008
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5
  • 重要なデータの暗号化の欠如 (CWE-311) - CVE-2020-12032
    CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 8.1
  • 不適切なアクセス制御(CWE-284) - CVE-2020-12024
    CVSS v3 CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 6.8
  • 誤った領域へのリソースの漏えい (CWE-668) - CVE-2020-12020
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H 基本値: 6.1
  • 不適切な入力確認 (CWE-20) - CVE-2017-0143
    CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 8.1
Baxter PrismaFlex and PrisMax
  • 重要な情報の平文での送信 (CWE-319) - CVE-2020-12036
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N 基本値: 6.5
  • 不適切な認証 (CWE-287) - CVE-2020-12035
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L 基本値: 7.6
  • ハードコードされたパスワードの使用 (CWE-259) - CVE-2020-12037
    CVSS v3 CVSS:3.0/AV:P/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L 基本値: 5.4
Baxter Phoenix Hemodialysis Delivery System
  • 重要な情報の平文での送信 (CWE-319) - CVE-2020-12048
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5
Baxter Sigma Spectrum Infusion Pumps
  • ハードコードされたパスワードの使用 (CWE-259) - CVE-2020-12039
    CVSS v3 CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 4.3
  • 重要な情報の平文での送信 (CWE-319) - CVE-2020-12040
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 7.3
  • ハードコードされたパスワードの使用 (CWE-259) - CVE-2020-12045
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H 基本値: 8.6
  • 重要なリソースに対する不適切なパーミッションの割り当て (CWE-732) - CVE-2020-12041
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 8.6
  • ハードコードされたパスワードの使用 (CWE-259) - CVE-2020-12047
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 7.3
  • 有効期限後または解放後のリソースの操作 (CWE-672) - CVE-2020-12043
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 7.3

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

Baxter ExactaMix
  • 遠隔の第三者により、権限のないソフトウェアを実行されたり、ファイル、ディレクトリ等の閲覧や更新が行われたりする - CVE-2020-12016 
  • 物理的にアクセス可能な第三者により権限のないシステム構成やデータの閲覧・更新が行われる - CVE-2020-12012 
  • 遠隔の第三者が機密データを閲覧する - CVE-2020-12008
  • 遠隔の第三者が、機密データを閲覧したり、変更したりする - CVE-2020-12032
  • 物理的にアクセス可能な第三者により、不正なペイロードをロードしたり、ハードドライブへの不正アクセスが行われたりする - CVE-2020-12024
  • 物理的にアクセス可能な第三者により、制限されたユーザ権限として起動スクリプトを変更する - CVE-2020-12020
  • 遠隔の第三者が、機密情報へ不正アクセスしたり、任意コードの実行等をしたりする- CVE-2017-0143
 
Baxter PrismaFlex and PrisMax
  • 遠隔の第三者が、デバイスから送信された機微な情報を閲覧する - CVE-2020-12036
  • 遠隔の第三者が、治療状態に関する情報を変更する - CVE-2020-12035
  • 物理的にアクセス可能な第三者がデバイスの設定や較正を変更する - CVE-2020-12037
 
Baxter Phoenix Hemodialysis Delivery System
  • 遠隔の第三者が、デバイスから送信された機微な情報を閲覧する - CVE-2020-12048
 
Baxter Sigma Spectrum Infusion Pumps
  • 物理的にアクセス可能な第三者がデバイスの設定や較正値等にアクセスする - CVE-2020-12039
  • 遠隔の第三者が、機微な情報を閲覧したり、中間者攻撃を実行したりする - CVE-2020-12040
  • 遠隔の第三者がハードコードされた認証情報で管理サービスにアクセスする - CVE-2020-12045
  • 遠隔の第三者が、機微な情報にアクセスしたり、デバイスを再起動したりする - CVE-2020-12041
  • 遠隔の第三者がハードコードされた認証情報でファイルを転送する - CVE-2020-12047
  • 設定変更後デバイスを再起動するまで設定変更前のファイル転送が継続する - CVE-2020-12043

対策方法

Baxter ExactaMix
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
 
また、開発者は、セキュリティ強化のために以下の対策を行うことを推奨しています。
  • 物理的なアクセスを制限する
  • パスワードの機密性が保たれていることを確認する
  • デバイスを認められている使用方法に従って利用する。開発者が承認していないソフトウェアやデバイスを利用しない
  • 主要なネットワークから分離し、ファイアウォール等により不要な通信をブロックする
  • ネットワーク全体で最新のセキュリティパッチを適用する
  • データのバックアップおよび保存を適切に行う
 
Baxter PrismaFlex and PrisMax
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
 
また、開発者は、セキュリティ強化のために以下の対策を行うことを推奨しています。
  • 物理的なアクセスを許可されたユーザに制限する
  • すべての医療機器に対して特権を与えられたユーザの資格情報を共有しない
  • ネットワーク分離、ファイアウォールによる双方向通信の制限等の多層防御を実施する
  • PrismaFlex バージョン SW 8.2x では、デバイス固有のサービスパスワードを設定する
 
Baxter Phoenix Hemodialysis Delivery System
ワークアラウンド
  • ネットワーク分離を実施する
  • Phoenix のマシンと Exalis Server PC 専用のサブネットワークを構成する
  • リモート接続(WAN)の場合は、VPN ネットワーク接続を使用して、専用のサブネットワークで構成する
  • 各ネットワークセグメントにファイアウォールを設置し、インバウンドとアウトバウンドの接続を制限する
  • 不正なネットワークアクセスをスキャンする
  • 脆弱性やウイルスをスキャンする
 
Baxter Sigma Spectrum Infusion Pumps
ワークアラウンド
  • 他のネットワークから分離する
  • 適切な無線ネットワークセキュリティプロトコル(WPA2、EAP-TLSなど)を使用する
  • ネットワークの設定後に WBM を取り外してから再度装着することで、WBMが再起動されることを確認する
  • ネットワーク境界でデバイスに対するFTP等の予期せぬ通信を監視する
  • ポンプの無線操作を無効化する (処方箋の更新作業の速度に影響することを考慮の上、実施する)

参考情報

  1. ICS Medical Advisory (ICSMA-20-170-01)
    Baxter ExactaMix
  2. ICS Medical Advisory (ICSMA-20-170-02)
    Baxter PrismaFlex and PrisMax
  3. ICS Medical Advisory (ICSMA-20-170-03)
    Baxter Phoenix Hemodialysis Delivery System
  4. ICS Medical Advisory (ICSMA-20-170-04)
    Baxter Sigma Spectrum Infusion Pumps

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

更新履歴

2020/06/24
【ベンダ情報】に 開発者による Security Advisory へのリンクを追加しました。
2020/07/15
【対策方法】に PrismaFlex バージョン SW 8.2x についての記載を追加しました。