公開日:2022/06/21 最終更新日:2022/06/21

JVNVU#96575995
Hillrom製Welch Allyn ELI Resting ECGにおける複数の脆弱性

概要

Hillromが提供するWelch Allyn ELI Resting ECGには、複数の脆弱性が存在します。

影響を受けるシステム

  • Welch Allyn ELI 380 Resting Electrocardiograph バージョン2.6.0およびそれ以前
  • Welch Allyn ELI 280/BUR280/MLBUR 280 Resting Electrocardiograph バージョン2.3.1およびそれ以前
  • Welch Allyn ELI 250c/BUR 250c Resting Electrocardiograph バージョン2.1.2およびそれ以前
  • Welch Allyn ELI 150c/BUR 150c/MLBUR 150c Resting Electrocardiograph バージョン2.2.0およびそれ以前

詳細情報

Hillromが提供するWelch Allyn ELI Resting ECGは安静時心電計です。Welch Allyn ELI Resting ECGには、次の複数の脆弱性が存在します。

  • ハードコードされたパスワードの使用 (CWE-259) - CVE-2022-26388
  • 不適切なアクセス制御 (CWE-284) - CVE-2022-26389

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 対象製品に物理アクセス可能な第三者によって、ハードコードされたパスワードを外部コンポーネントへのインバウンド認証やアウトバウンド通信に使用される - CVE-2022-26388
  • 許可されていないユーザによって、デフォルト設定で有効なポートにアクセスされる - CVE-2022-26389

対策方法

アップデートする
開発者は、アップデートを提供しています。

ワークアラウンドを実施する
開発者は、アップデートが適用できない場合、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Hillrom Responsible Disclosures
Customer Service Bulletin: Security Vulnerability of Hard Coded Password
Customer Service Bulletin: Security Vulnerability of Improper Access Control

参考情報

  1. ICS Medical Advisory (ICSMA-22-167-01)
    Hillrom Medical Device Management

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia