B.Braun Melsungen AG社の複数の製品に脆弱性

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は10月22日、B.Braun Melsungen AG社の複数の製品における複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

2021.10.25 Mon 8:00

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は10月22日、B.Braun Melsungen AG社の複数の製品における複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムは以下の通り。

SpaceCom:ソフトウェアバージョン011L0000L81および前のバージョン
Battery pack with WiFi:ソフトウェアバージョン027L0000L81および前のバージョン
Data module compactplus:ソフトウェアバージョンI0050A0010およびI0050A0011

　JVNによると、B.Braun Melsungen AG社が提供する複数の製品には、下記の脆弱性が存在し、それぞれ以下の影響を受ける可能性がある。

・不適切な入力確認（CVE-2021-33886）
→機器と同一ネットワークに接続可能な第三者によってユーザ権限のコマンドラインへアクセスされる

・データの信頼性についての不十分な検証（CVE-2021-33885）
→認証されていない遠隔の第三者によって悪意のあるデータを送信されシステムコマンドを実行される

・重要な機能に対する認証欠如の問題（CVE-2021-33882）
→認証されていない遠隔の第三者によって機器を再構成される

・機密情報の平文送信（CVE-2021-33883）
→遠隔の第三者によってトラフィックを取得され機密情報を窃取される

・危険なタイプのファイルの無制限アップロード（CVE-2021-33884）
→遠隔の第三者によって重要なファイルを上書きされる

　B.Braun Melsungen AG社では、本脆弱性を修正した下記のバージョンをリリースしており、最新版にアップデートするよう呼びかけている。

SpaceStation with SpaceCom2:ソフトウェアバージョンL81(011L0000L81)
Battery Pack SP with WiFi:ソフトウェアバージョンL81(027L0000L81)
DataModule compactplus:ソフトウェアバージョンA11(I0050A0011)

　または、重要なシステムをファイアウォールやVLANを利用してインターネットなどから許可されていないユーザのアクセスができない環境を構築する、ワイヤレスネットワークは業界標準の暗号化を実装し侵入検知システム（IDS）や侵入防止システム（IPS）を導入する等の回避策の適用を推奨している。

《ScanNetSecurity》