医療用のスマート輸液システム、LAN内から不正なファームウェアに書き換え可能な脆弱性

2019年6月21日 18:51

小

中

大

印刷

記事提供元:スラド

 headless曰く、

 医療用の輸液ポンプ/シリンジポンプに電源とネットワーク接続機能を提供するBD社のAlaris Gateway Workstation(AGW)で、悪用すると輸液速度をリモートから変更することも可能になる脆弱性CVE-2019-10959が公表されている(BDのサポート記事[1]CyberMDXの発表[1]ICS-CERTのアドバイザリThe Register)。

 点滴スタンドのポールを2本にしたような形状のAGWはドックを備えており、RS-232または赤外線で輸液ポンプ/シリンジポンプと接続することでスマート輸液システムを構成する。CVE-2019-10959は任意ファイルをアップロード可能な脆弱性で、認証なしのSMB共有フォルダーが存在するようだ。この脆弱性を悪用すると、ローカルネットワークに接続した攻撃者がWindows CEで実行可能な不正なファームウェア更新プログラムを含むCABファイルをアップロードすることで、ファームウェアの書き換えが可能になるという。ただし、脆弱性を発見した医療関連のサイバーセキュリティ企業CyberMDXはアップロードするだけでファームウェアが書き換えられるように説明しているが、BDは何らかの方法でアップデートを実行する必要があるように説明しており、CVEの説明ではファームウェア更新中に任意のファイルをアップロード可能となっている。

 不正なファームウェアを使用することで、攻撃者はAGWに接続された輸液ポンプ/シリンジポンプの調整コマンドの範囲を変更できるほか、古いバージョンのソフトウェアを使用するシリンジポンプ4機種では輸液速度を変更することも可能とのこと。CVSS v3スコアは10.0(Critical)となっているが、最新のファームウェア(バージョン1.3.2または1.6.1)では脆弱性の影響を受けず、攻撃者が病院内のネットワークへ接続する必要があることや、ファームウェア更新プログラムに関する知識が必要になることから、BDは攻撃を受ける可能性は低いと考えているようだ。BDでは最新ファームウェアへの更新、SMBプロトコルのブロック、VLANネットワークの分離、適切な関係者のみにネットワークへのアクセスを認める、といった対策の実施を推奨している。

 また、ローカルネットワークに接続した攻撃者がIPアドレスを知っていればWebベースのAGW設定画面に認証なく接続できる、という脆弱性CVE-2019-10962も同時に公表されている。設定画面ではポンプの状態を監視できるほか、設定の変更やAGWの再起動などが可能になる。こちらのCVSS v3スコアは7.3(High)で、CVE-2019-10959と同様に最新ファームウェアでは影響を受けないとのことだ(BDのサポート記事[2]CyberMDXの発表[2])。

 スラドのコメントを読む | セキュリティセクション | セキュリティ | ネットワーク | 医療

 関連ストーリー:
植込み型心臓電気生理学デバイス用プログラマーにリモートから患者を攻撃可能な脆弱性 2018年10月15日
ペースメーカーの脆弱性を修正するファームウェア更新が提供される 2017年09月03日
Windows XP等で動いている医薬品の自動分配システムに大量の脆弱性 2016年04月05日
ワイヤレス医療機器のハッキングを防ぐための事前審査、米国で議論される 2012年04月26日

※この記事はスラドから提供を受けて配信しています。

関連キーワード脆弱性セキュリティファームウェア

広告

広告

写真で見るニュース

  • 子供や初心者も安全に楽しめるスマートフェンシング(写真:大日本印刷の発表資料より)
  • 新型「N-WGN」(画像: 本田技研工業の発表資料より)
  • ハーゲンダッツ トラベリングショップのイメージ。(画像:ハーゲンダッツジャパン発表資料より)
  • N-WGN(画像: 本田技研工業の発表資料より)
  • シフォン・G スマートアシスト(画像: SUBARUの発表資料より)
  • 画像はイメージです。
  • 「JALマイレージバンク ワールドマーケットプレイス」の画面イメージ。(画像: 日本航空の発表資料より)
  • 日産の新型「スカイライン」。(画像: 日産自動車の発表資料より)
  • 「ホカロン ルナ」(画像: ロッテの発表資料より)
 

広告

ピックアップ 注目ニュース