公開日:2022/09/02 最終更新日:2025/01/31

JVNVU#98006941
Contec Medical Systems製Contec Health CMS8000 CONTEC ICU CCU Vital Signs Patient Monitorにおける複数の脆弱性

概要

Contec Medical Systemsが提供するContec Health CMS8000 CONTEC ICU CCU Vital Signs Patient Monitorには、複数の脆弱性が存在します。

影響を受けるシステム

  • CMS8000 CONTEC ICU CCU Vital Signs Patient Monitor smart3250-2.6.27-wlan2.1.7.cramfsおよびそれ以前のバージョン
  • CMS8000 CONTEC ICU CCU Vital Signs Patient Monitor CMS7.820.075.08/0.74(0.75)およびそれ以前のバージョン
  • CMS8000 CONTEC ICU CCU Vital Signs Patient Monitor CMS7.820.120.01/0.93(0.95)およびそれ以前のバージョン

詳細情報

Contec Medical Systemsが提供するContec Health CMS8000 CONTEC ICU CCU Vital Signs Patient Monitorには、次の複数の脆弱性が存在します。

  • 不適切な物理アクセス制御 (CWE-1263) - CVE-2022-36385
  • 制限または調整なしのリソースの割り当て (CWE-770) - CVE-2022-38100
  • ハードコードされた認証情報の使用 (CWE-798) - CVE-2022-38069
  • アクティブ状態のデバッグコード (CWE-489) - CVE-2022-38453
  • 保護されていないプライマリーチャネル (CWE-419) - CVE-2022-3027

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 当該機器に物理的にアクセス可能な第三者によって、ファームウェアを改ざんされる - CVE-2022-36385
  • 遠隔の第三者が細工したUDPリクエストを送信することによって、当該機器のクラッシュが引き起こされたり、同じネットワーク上のすべての当該機器がサービス運用妨害(DoS)攻撃を受けたりする - CVE-2022-38100
  • 当該機器に物理的にアクセス可能な第三者によって特権を取得され、患者の機密情報の窃取やデバイスパラメータの変更が行われる - CVE-2022-38069
  • ローカルの高権限ユーザによって機密性の高いコードをリバースエンジニアリングされ、他の脆弱性の特定がたやすくなる - CVE-2022-38453
  • 隣接ネットワーク上の第三者によって、任意のファイルが書き込まれたり、誤った情報が表示されたりする - CVE-2022-3027

対策方法

製品の使用を停止する
すべてのContec CMS8000機器をネットワークから遮断してください

ベンダ情報

ベンダ リンク
Contec Medical Systems Co., Ltd. Contact us

参考情報

  1. ICS Medical Advisory | ICSMA-22-244-01
    Contec Health CMS8000 Patient Monitor

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2025/01/31
[影響を受けるシステム]、[詳細情報]、[対策方法]、[参考情報]を更新しました