植込み型パルスジェネレータに使用される過般型CRMシステムに複数の脆弱性

脆弱性と脅威セキュリティホール・脆弱性

29 views

2021.10.6 Wed 8:00

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は10月1日、Boston Scientific製ZOOM LATITUDEにおける複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムは以下の通り。

ZOOM LATITUDE Programmer/Recorder/Monitor (PRM) Model 3120

　JVNによると、Boston Scientific社が提供するZOOM LATITUDEには複数の脆弱性が存在し、想定される影響は各脆弱性により異なるが、当該製品に物理アクセス可能な第三者によって次のような影響を受ける可能性がある。

・強度が不十分なパスワードハッシュの使用（CVE-2021-38400）
→パスワードハッシュを抽出され当該システムのパスワードへのリバースブルートフォース攻撃に利用される

・集積回路（IC）画像処理技術を用いたハードウェアリバースエンジニアリングに対する保護機能の欠如（CVE-2021-38394）
→有効なハードウェアキーを複製され当該製品の特別な設定にアクセスされる

・不適切なアクセス制御（CVE-2021-38392）
→ハードディスクドライブにアクセスしてテレメトリ対象地域を変更され世界中のあらゆる地域の埋め込み型デバイスに接続される

・完全性チェックの欠如（CVE-2021-38396）
→細工したUSBを使用され不正なソフトウェアをインストールされる

・更新できないコンポーネントの使用（CVE-2021-38398）
→当該製品で使用しているソフトウェアコンポーネントに含まれる既知の脆弱性を悪用され攻撃される

　Boston Scientific社によると、本脆弱性に対応するアップデートの予定は無く、セキュリティを強化した後継製品LATITUDE Programming System Model 3300への移行を進めるとのこと。

　Boston Scientific社では「ZOOM LATITUDE PRM Model 3120」を引き続き使用する場合は、当該製品へのアクセスを適切に制御、管理する、当該製品を使用しないときは安全な場所または施錠可能な場所に保管する、当該製品の使用停止、または装置からの取り外しを行う前にPHIを取り外す等の回避策の実施を推奨している。