医療用のスマート輸液システム、LAN内から不正なファームウェアに書き換え可能な脆弱性
2019年6月21日 18:51
headless曰く、
医療用の輸液ポンプ/シリンジポンプに電源とネットワーク接続機能を提供するBD社のAlaris Gateway Workstation(AGW)で、悪用すると輸液速度をリモートから変更することも可能になる脆弱性CVE-2019-10959が公表されている(BDのサポート記事[1]、CyberMDXの発表[1]、ICS-CERTのアドバイザリ、The Register)。
点滴スタンドのポールを2本にしたような形状のAGWはドックを備えており、RS-232または赤外線で輸液ポンプ/シリンジポンプと接続することでスマート輸液システムを構成する。CVE-2019-10959は任意ファイルをアップロード可能な脆弱性で、認証なしのSMB共有フォルダーが存在するようだ。この脆弱性を悪用すると、ローカルネットワークに接続した攻撃者がWindows CEで実行可能な不正なファームウェア更新プログラムを含むCABファイルをアップロードすることで、ファームウェアの書き換えが可能になるという。ただし、脆弱性を発見した医療関連のサイバーセキュリティ企業CyberMDXはアップロードするだけでファームウェアが書き換えられるように説明しているが、BDは何らかの方法でアップデートを実行する必要があるように説明しており、CVEの説明ではファームウェア更新中に任意のファイルをアップロード可能となっている。
不正なファームウェアを使用することで、攻撃者はAGWに接続された輸液ポンプ/シリンジポンプの調整コマンドの範囲を変更できるほか、古いバージョンのソフトウェアを使用するシリンジポンプ4機種では輸液速度を変更することも可能とのこと。CVSS v3スコアは10.0(Critical)となっているが、最新のファームウェア(バージョン1.3.2または1.6.1)では脆弱性の影響を受けず、攻撃者が病院内のネットワークへ接続する必要があることや、ファームウェア更新プログラムに関する知識が必要になることから、BDは攻撃を受ける可能性は低いと考えているようだ。BDでは最新ファームウェアへの更新、SMBプロトコルのブロック、VLANネットワークの分離、適切な関係者のみにネットワークへのアクセスを認める、といった対策の実施を推奨している。
また、ローカルネットワークに接続した攻撃者がIPアドレスを知っていればWebベースのAGW設定画面に認証なく接続できる、という脆弱性CVE-2019-10962も同時に公表されている。設定画面ではポンプの状態を監視できるほか、設定の変更やAGWの再起動などが可能になる。こちらのCVSS v3スコアは7.3(High)で、CVE-2019-10959と同様に最新ファームウェアでは影響を受けないとのことだ(BDのサポート記事[2]、CyberMDXの発表[2])。