公開日:2021/11/19 最終更新日:2021/11/19

JVNVU#97956417
Philips製IntelliBridge EC 40 HubおよびEC 80 Hubにおける複数の脆弱性

概要

Philips社が提供するIntelliBridge EC 40 HubおよびEC 80 Hubには、複数の脆弱性が存在します。

影響を受けるシステム

  • IntelliBridge EC 40 Hub C.00.04およびそれ以前
  • IntelliBridge EC 80 Hub C.00.04およびそれ以前

詳細情報

Philips社が提供するIntelliBridge EC 40 HubおよびEC 80 Hubには、次の複数の脆弱性が存在します。

  • ハードコードされた認証情報の使用(CWE-798) - CVE-2021-32993
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H 基本値: 8.1
  • 代替パスまたはチャンネルを使用した認証回避(CWE-288) - CVE-2021-33017
    CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H 基本値: 8.1

想定される影響

第三者によって、病院のLANから物理的または論理的に分離する必要があるPhilipsの患者監視ネットワークを介して当該製品にアクセスされ、ソフトウェアの実行、デバイス構成の変更、識別できない患者データを含むファイルの表示/更新をされる可能性があります。

対策方法

2021年11月19日現在、本脆弱性への対策は提供されていません。
Philips社は2021年第4四半期までに本脆弱性を修正したリリースを予定しています。

ワークアラウンドを実施する
Philips社は、以下のワークアラウンドを推奨しています。

  • Philips社が承認した仕様の範囲内で、Philips社が展開およびサポートするすべての製品を操作する
  • 医療機器で利用するネットワークは、病院内の他のネットワークから論理的または物理的に分離する

ベンダ情報

ベンダ リンク
Philips Security Advisories

参考情報

  1. ICS Medical Advisory (ICSMA-21-322-01)
    Philips IntelliBridge EC 40 and EC 80 Hub

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia