公開日:2022/06/01 最終更新日:2022/06/01

JVNVU#96249138
Becton, Dickinson and Company社の複数の製品における複数の脆弱性

概要

Becton, Dickinson and Company(BD)社が提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2022-22767

  • BD Pyxis Anesthesia Station ES
  • BD Pyxis CIISafe
  • BD Pyxis Logistics
  • BD Pyxis MedBank
  • BD Pyxis MedStation 4000
  • BD Pyxis MedStation ES
  • BD Pyxis MedStation ES Server
  • BD Pyxis ParAssist
  • BD Pyxis Rapid Rx
  • BD Pyxis StockStation
  • BD Pyxis SupplyCenter
  • BD Pyxis SupplyRoller
  • BD Pyxis SupplyStation
  • BD Pyxis SupplyStation EC
  • BD Pyxis SupplyStation RF auxiliary
  • BD Rowa Pouch Packaging Systems
CVE-2022-30277
  • BD Synapsys Versions 4.20、4.20 SR1および4.30

詳細情報

BD社が提供する複数の製品には、次の複数の脆弱性が存在します。

  • パスワードに有効期限を設定しない (CWE-262) - CVE-2022-22767
  • 不適切なセッション期限 (CWE-613) - CVE-2022-30277

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 第三者によって、個人健康情報(PHI)やその他の機密情報へアクセスされる - CVE-2022-22767
  • ユーザによって、個人健康情報(PHI)、個人情報(PII)やその他の機密情報にアクセス、変更、削除される - CVE-2022-30277

対策方法

2022年6月1日現在、本脆弱性への対策は提供されていません。
BD社によると、CVE-2022-22767の脆弱性に対しては、BD Pyxis製品の資格管理機能を強化中とのことです。また、CVE-2022-30277の脆弱性に対しては、以下のバージョンで修正予定とのことです。

  • BD Synapsys v4.20SR2 - 2022年6月にリリース予定
  • BD Synapsys v5.10 - 2022年8月までにリリース予定
ワークアラウンドを実施する
開発者が推奨するワークアラウンドを適用してください。
詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Becton, Dickinson and Company (BD) BD Pyxis™ Products - Default Credentials
BD Synapsys™– Insufficient Session Expiration

参考情報

  1. ICS Medical Advisory (ICSMA-22-151-01)
    BD Pyxis
  2. ICS Medical Advisory (ICSMA-22-151-02)
    BD Synapsys

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia