公開日:2023/11/29 最終更新日:2023/11/29

JVNVU#99370831
BD製FACSChorusにおける複数の脆弱性

概要

Becton, Dickinson and Company(BD)社が提供するFACSChorusには、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2023-29060、CVE-2023-29061、CVE-2023-29062、CVE-2023-29063

  • BD FACSChorus (HP Z2 G9 workstation, shipped with FACSDiscover S8 Cell Sorter) v5.0およびv5.1
  • BD FACSChorus (HP Z2 G5 workstation, shipped with FACSMelody Cell Sorter) v3.0およびv3.1
CVE-2023-29064、CVE-2023-29065、CVE-2023-29066
  • BD FACSChorus (HP Z2 G9 workstation, shipped with FACSDiscover S8 Cell Sorter) v5.0およびv5.1

詳細情報

Becton, Dickinson and Company(BD)社が提供するFACSChorusには、次の複数の脆弱性が存在します。

  • 代替ハードウェアインターフェースの保護メカニズムの欠如 (CWE-1299) - CVE-2023-29060、CVE-2023-29063
  • 重要な機能に対する認証の欠如 (CWE-306) - CVE-2023-29061
  • 不適切な認証 (CWE-287) - CVE-2023-29062
  • ハードコードされた認証情報の使用 (CWE-798) - CVE-2023-29064
  • 安全でないパーミッションが継承される (CWE-277) - CVE-2023-29065
  • 不適切な権限設定 (CWE-266) - CVE-2023-29066

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 当該機器に物理的にアクセスできる攻撃者によって、システム情報にアクセスされ、データを窃取される - CVE-2023-29060
  • 当該機器に物理的にアクセスできる攻撃者によって、BIOS 構成にアクセスされ、ドライブの起動順序とBIOS起動前認証を変更される - CVE-2023-29061
  • 当該システムがドメインに参加している場合、ハッシュ化されたユーザー認証情報を窃取され、パスワードを解読される - CVE-2023-29062
  • 当該機器に物理的にアクセスできる攻撃者によって、細工されたPCIカードを挿入され、当該機器の起動時にBitLocker暗号化キーなどの機微な情報を窃取される - CVE-2023-29063
  • 当該機器に物理的にアクセスできる攻撃者によって、管理者アカウントのトークンやパスワードなどを窃取される - CVE-2023-29064
  • 当該機器に物理的にアクセスできる攻撃者によって、認証情報を窃取され、データベースに保存されているデータを変更されたり破壊されたりする - CVE-2023-29065
  • 管理者以外のOSアカウントによって、ローカルアプリケーションデータフォルダーに保存されている情報を変更される - CVE-2023-29066

対策方法

2023年11月29日時点でアップデートはリリースされていません。
開発者によると、本脆弱性は今後のリリースで解決されるとのことです。

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。

詳細は、開発者にお問い合わせください。

ベンダ情報

ベンダ リンク
Becton, Dickinson and Company(BD) BD FACSChorus Vulnerabilities - Software and Workstation Nov 28, 2023 Bulletins

参考情報

  1. ICS Medical Advisory | ICSMA-23-331-01
    BD FACSChorus

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia