公開日:2022/10/05 最終更新日:2022/10/05

JVNVU#99722530
BD製BD トータリス マルチプロセッサーにおけるハードコードされた認証情報の使用の脆弱性

概要

Becton, Dickinson and Company(BD)が提供するBD トータリス マルチプロセッサーには、ハードコードされた認証情報の使用の脆弱性が存在します。

影響を受けるシステム

  • BD トータリス マルチプロセッサー 1.70およびそれ以前のバージョン

詳細情報

Becton, Dickinson and Company(BD)が提供するBD トータリス マルチプロセッサーには、次の脆弱性が存在します。

  • ハードコードされた認証情報の使用 (CWE-798) - CVE-2022-40263

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • ローカルのユーザによって、保護対象電子医療情報(ePHI)、保護対象医療情報(PHI)、個人識別情報(PII)などを含む機微な情報にアクセスされたり、変更や削除をされたりする

対策方法

開発者によると、本脆弱性は、2022年の第4四半期に予定されているBD トータリス マルチプロセッサー バージョン 1.71 ソフトウェアリリースで修正される予定とのことです。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。
詳細は、開発者が提供する情報をご確認ください。

参考情報

  1. ICS Medical Advisory (ICSMA-22-277-01)
    BD Totalys MultiProcessor

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia