JVNVU#98758776
Hamilton-T1 における複数の脆弱性

Hamilton Medical 社が提供する Hamilton-T1 には、複数の脆弱性が存在します。

• Hamilton-T1 バージョン 2.2.3 およびそれ以前

Hamilton Medical 社が提供する Hamilton-T1 は、人工呼吸器です。
Hamilton-T1 には、次の複数の脆弱性が存在します。

• ハードコードされた認証情報の使用 (CWE-798) - CVE-2020-27278

  CVSS v3

  CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

  基本値: 3.5

• XML検証の欠如 (CWE-112) - CVE-2020-27282

  CVSS v3

  CVSS:3.1/AV:P/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

  基本値: 4.3

• 情報漏えい (CWE-200) - CVE-2020-27290

  CVSS v3

  CVSS:3.1/AV:P/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

  基本値: 2.1

想定される影響は各脆弱性により異なりますが、物理的にデバイスにアクセスできる第三者により、次のような影響を受ける可能性があります。

• 人工呼吸器にハードコードされた認証情報により、機器の設定用インターフェイスの管理者権限を取得される - CVE-2020-27278
• 管理者権限を利用し、細工した設定ファイルをアップロードすることで、デバイスを使用不可にされる - CVE-2020-27282
• 設定ファイル検証用のチェックサムデータを窃取される - CVE-2020-27290

アップデートする
Hamilton Medical 社が提供する情報をもとに、以下のバージョンにアップデートしてください。

• Hamilton-T1 バージョン 2.2.3 より後のバージョン

• 人工呼吸器への物理的なアクセスを、許可されたユーザのみに制限する
• 通知、アラーム、アラートに注意する
• サードパーティのデバイスに接続したり、許可されていないソフトウェアを使用したりしない