公開日:2022/12/02 最終更新日:2022/12/02

JVNVU#99552838
BD製BodyGuardにおけるハードウェアインターフェイスに対する保護機構の欠如の脆弱性

概要

Becton, Dickinson and Company(BD社)が提供するBodyGuardには、ハードウェアインターフェイスに対する保護機構の欠如の脆弱性が存在します。

影響を受けるシステム

  • BD BodyGuard
  • CME BodyGuard 323 (2nd Edition)
  • CME BodyGuard 323 Color Vision (2nd Edition)
  • CME BodyGuard 323 Color Vision (3rd Edition)
  • CME BodyGuard Twins (2nd Edition)

詳細情報

BD社が提供するBodyGuardは、輸液ポンプです。BodyGuardには、次の脆弱性が存在します。

  • ハードウェアインターフェイスに対する保護機構の欠如 (CWE-1299) - CVE-2022-43557

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 当該製品に物理的にアクセス可能な第三者によって、RS-232インターフェースを介して輸液ポンプの設定の読み取りおよび変更を実行され、サービス運用妨害(DoS)攻撃を引き起こされる

対策方法

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。
詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Becton, Dickinson and Company(BD) BD BodyGuard Pumps – RS-232 Interface Vulnerability

参考情報

  1. ICS Medical Advisory (ICSMA-22-335-01)
    BD BodyGuard Pumps

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia