公開日:2021/10/22 最終更新日:2021/10/22

JVNVU#93193058
B.Braun Melsungen AG社の複数の製品における複数の脆弱性

概要

B.Braun Melsungen AG社が提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

  • SpaceCom:ソフトウェアバージョン011L0000L81および前のバージョン
  • Battery pack with WiFi:ソフトウェアバージョン027L0000L81および前のバージョン
  • Data module compactplus:ソフトウェアバージョンI0050A0010およびI0050A0011

詳細情報

B.Braun Melsungen AG社が提供する複数の製品には、次の複数の脆弱性が存在します。

  • 不適切な入力確認 (CWE-20) - CVE-2021-33886
    CVSS v3 CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N 基本値: 6.8
  • データの信頼性についての不十分な検証 (CWE-345) - CVE-2021-33885
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H 基本値: 9.0
  • 重要な機能に対する認証欠如の問題 (CWE-306) - CVE-2021-33882
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N 基本値: 6.8
  • 機密情報の平文送信 (CWE-319) - CVE-2021-33883
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N 基本値: 5.9
  • 危険なタイプのファイルの無制限アップロード (CWE-434) - CVE-2021-33884
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N 基本値: 6.5

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 機器と同一ネットワークに接続可能な第三者によって、ユーザ権限のコマンドラインへアクセスされる - CVE-2021-33886
  • 認証されていない遠隔の第三者によって悪意のあるデータを送信され、システムコマンドを実行される - CVE-2021-33885
  • 認証されていない遠隔の第三者によって、機器を再構成される - CVE-2021-33882
  • 遠隔の第三者によってトラフィックを取得され、機密情報を窃取される - CVE-2021-33883
  • 遠隔の第三者によって、重要なファイルを上書きされる - CVE-2021-33884

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • SpaceStation with SpaceCom2:ソフトウェアバージョンL81(011L0000L81)
  • Battery Pack SP with WiFi:ソフトウェアバージョンL81(027L0000L81)
  • DataModule compactplus:ソフトウェアバージョンA11(I0050A0011) 
ワークアラウンドを実施する
B.Braun社は次のワークアラウンドの適用を推奨しています。
  • 重要なシステムをファイアウォールやVLANを利用して、インターネットなどから許可されていないユーザのアクセスができない環境を構築する
  • ワイヤレスネットワークは、業界標準の暗号化を実装し、侵入検知システム(IDS)や侵入防止システム(IPS)を導入する

参考情報

  1. ICS Medical Advisory (ICSMA-21-294-01)
    B. Braun Infusomat Space Large Volume Pump

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia