公開日:2021/12/22 最終更新日:2021/12/22

JVNVU#95273272
Fresenius Kabi製Agilia Connect Infusion Systemにおける複数の脆弱性

概要

Fresenius Kabi社が提供するAgilia Connect Infusion Systemには、複数の脆弱性が存在します。

影響を受けるシステム

Agilia Connect Infusion Systemの以下に示すコンポーネントが本脆弱性の影響を受けます。

  • ポンプ vD25およびそれ以前のポンプ用Agilia Connect WiFi module
  • Agilia Link+ v3.0 D15およびそれ以前
  • Vigilant Software Suite v1.0 Vigilant Centerium、Vigilant MasterMed、Vigilant Insight
  • Agilia Partner メンテナンスソフトウェア v3.3.0およびそれ以前

詳細情報

Fresenius Kabi社が提供するAgilia Connect Infusion Systemには、次の複数の脆弱性が存在します。

  • リソースの枯渇 (CWE-400) - CVE-2021-23236
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5
  • 解読される恐れの高い暗号アルゴリズムの使用 (CWE-327) - CVE-2021-31562
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N 基本値: 6.5
  • 解読される恐れの高い暗号アルゴリズムの使用 (CWE-327) - CVE-2021-41835
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 7.3
  • 認証情報の不十分な保護 (CWE-522) - CVE-2021-23196
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 7.3
  • 不適切なアクセス制御 (CWE-284) - CVE-2021-23233
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 7.3
  • 認証情報の平文保存 (CWE-256) - CVE-2021-23207
    CVSS v3 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N 基本値: 6.5
  • 外部からアクセス可能なファイルまたはディレクトリ (CWE-552) - CVE-2021-33843
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N 基本値: 5.3
  • ディレクトリリスティングによる情報漏えい (CWE-548) - CVE-2021-23195
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 5.3
  • クロスサイトスクリプティング (CWE-79) - CVE-2021-33848
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N 基本値: 5.4
  • ハードコードされた認証情報の使用 (CWE-798) - CVE-2021-44464
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L 基本値: 6.3
  • 解読される恐れの高い暗号アルゴリズムの使用 (CWE-327) - CVE-2021-33846
    CVSS v3 CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:N 基本値: 5.9
  • クライアント側認証の使用 (CWE-603) - CVE-2021-43355
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 7.3
  • メンテナンスされていないサードパーティ製コンポーネントの使用 (CWE-1104) - CVE-2020-35340
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、再起動させられる - CVE-2021-23236
  • 遠隔の第三者によって、送信データを傍受されたり、データを改ざんされたり、機密情報にアクセスされたりする - CVE-2021-31562
  • 遠隔の第三者によって、データを搾取される - CVE-2021-41835
  • 認証およびセッション管理メカニズムをクライアント側だけで実装し、認証属性の保護が不十分 - CVE-2021-23196
  • 遠隔の第三者によって、当該製品上で重要な操作や重要な設定パラメータの更新が行われる - CVE-2021-23233
  • ローカルの攻撃者によって、正規ユーザへなりすまされ、RabbitMQキーとメッセージを操作される - CVE-2021-23207
  • 遠隔の第三者によって、ネットワーク設定などの公開された設定値を変更される - CVE-2021-33843
  • 遠隔の第三者によって、サーバ上のファイルを識別してアクセスされる - CVE-2021-23195
  • 遠隔の第三者によって、内部情報の搾取や正規ユーザとしての操作など不正な活動をされる - CVE-2021-33848
  • 遠隔のユーザによって、当該ソフトウェアをインストールしたすべての製品の特権を取得される - CVE-2021-44464
  • 遠隔の特権ユーザによって、任意のユーザになりすまされる - CVE-2021-33846
  • 遠隔の第三者によって、クライアント側の制御を回避し、サービス権限でログインされる - CVE-2021-43355
  • 遠隔の第三者によって、古いソフトウェアをリバースエンジニアリングされ、発見された脆弱性を悪用される - CVE-2020-35340

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。

  • Link+ v3.0 (D16およびそれ以降)
  • VSS v1.0.3およびそれ以降
  • Agilia Connect Pumps Wifi Module (D29およびそれ以降)
  • Agilia Connect Partner v3.3.2およびそれ以降
ワークアラウンドを実施する
開発者によると、初期のLink+デバイスがD16およびそれ以降のファームウェアを利用するには、ハードウェアの変更が必要なため、デバイスの交換までは、CISAが示す以下のワークアラウンドなどの適用を推奨するとのことです。
  • すべての制御システムデバイスおよびシステムのネットワークへの接続を最小限にし、インターネットからアクセスさせない
  • ファイアウォールで保護している制御システムネットワークおよびリモートデバイスをビジネスネットワークから分離する
  • リモートアクセスが必要な場合、VPNなどの安全な方法を利用する

ベンダ情報

ベンダ リンク
Fresenius Kabi Contact - Fresenius Kabi USA

参考情報

  1. ICS Medical Advisory (ICSMA-21-355-01)
    Fresenius Kabi Agilia Connect Infusion System

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia