公開日:2020/08/21 最終更新日:2020/08/21

JVNVU#96372881
Philips 製 SureSigns VS4 における複数の脆弱性

概要

Philips 社が提供する SureSigns VS4 には、複数の脆弱性が存在します。

影響を受けるシステム

  • SureSigns VS4 A.07.107 およびそれ以前

詳細情報

SureSings VS4 は Philips 社が提供する患者のバイタルサインを監視する機器です。
SureSings VS4 には次の複数の脆弱性が存在します。
  • 不適切な入力確認 (CWE-20) - CVE-2020-16237
    CVSS v3 CVSS:3.1/AV:P/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L  基本値: 2.1
  • 不適切なアクセス制御 (CWE-284) - CVE-2020-16241
    CVSS v3 CVSS:3.1/AV:P/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:H  基本値: 6.3
  • 不適切な認証 (CWE-287) - CVE-2020-16239
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N 基本値: 4.9

想定される影響

第三者によって、管理者用の操作およびシステム設定へアクセスされ、その結果、機器の設定が変更され、患者のデータが外部に送信されるおそれがあります。

対策方法

アップデートする
開発者が提供する情報をもとに、製品に対応したアップデートを適用してください。

ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

  •     SureSign VS4 のシステムのパスワードをデバイス毎に一意のパスワードに設定する
  •     SureSign VS4 の使用時以外は、デバイスを物理的に保護する

ベンダ情報

ベンダ リンク
Philips Product Security

参考情報

  1. ICS Medical Advisory (ICSMA-20-233-01)
    Philips SureSigns VS4

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-16237
CVE-2020-16239
CVE-2020-16241
JVN iPedia