headless 曰く、
旭化成グループ ZOLL Medical の除細動器管理ソフトウェア ZOLL Defibrillator Dashboard で見つかった6件の脆弱性が公表されている(ICSMA-21-161-01、 The Registerの記事)。
CISAによる深刻度評価が最も高い(CVSS v3: 9.9) CVD-2021-27489は、管理者以外のユーザーがWebアプリケーションを通じて悪意あるファイルをアップロード可能というものだ。攻撃者はアップロードしたファイルを利用してリモートからの任意コード実行が可能になる。
このほかの脆弱性は、暗号鍵のハードコード(CVE-2021-27481)、認証情報の平文保存(CVE-2021-27487)、権限の低いユーザーが悪意あるスクリプトを含むパラメーターをWebアプリケーションにインジェクトすることで高い権限のユーザーに実行させることが可能(CVE-2021-27479)、攻撃者が認証情報をWebブラウザーから取得できる状態でのパスワード保存をユーザーに許可(CVE-2021-27485)、不適切なファイルシステムのパーミッション設定により低い権限のユーザーが管理者権限に昇格可能(CVE-2021-27483)、といったものだ。
脆弱性はすべて Defibrillator Dashboard バージョン2.2以降で修正されており、最新版への更新が推奨されている。
| セキュリティ
| バグ
| 医療
|
関連ストーリー:
米FDA、強力磁石を内蔵した電子機器の植込み型医療機器に与えるリスクは低いとしつつ、15cm以上離すことなどを推奨
2021年05月17日
Apple、植込み型除細動器やペースメーカーにiPhone 12やMagSafeアクセサリを近付けないよう求める
2021年01月27日
iPhone 12のMagSafeが植込み型除細動器を停止させる可能性
2021年01月14日
5G携帯電話による植込み型心臓ペースメーカー・除細動器への影響はないとの調査結果
2020年03月07日
植込み型除細動器などの通信プロトコルに患者を攻撃可能な脆弱性
2019年03月23日
ペースメーカーの脆弱性を修正するファームウェア更新が提供される
2017年09月03日
千葉県、AEDを使ったために訴えられた場合訴訟費用を貸し付ける制度を導入へ
2016年11月17日
Source: スラッシュドット