スマート輸液ポンプ、大半で既知の脆弱性が修正されず

Palo Alto NetworksのUnit 42 がスマート輸液ポンプ 20 万台以上のセキュリティを調査したところ、大半でセキュリティ上の問題 1 件以上が修正されていなかったそうだ(Unit 42 のブログ記事、日本語版、HackRead の記事)。

調査は同社の IoT Security for Healthcare を使用する医療機関から収集されたデータを対象としたものだ。発見された問題は既知のセキュリティ脆弱性 40 件以上、そのほかの IoT デバイスに関するセキュリティ上の問題 70 件ほどで、 75% のスマート輸液ポンプで 1 件以上の問題が修正されていなかったという。中でも CVE-2019-12255 (深刻度: 緊急) と CVE-2019-12264 (深刻度: 高) の両方が見つかったスマート輸液ポンプは 52.11% にのぼる。これら 2 件は VxWorks OS の脆弱性で、前者は TCP コンポーネントのバッファーオーバーフロー脆弱性、後者は不適切なアクセスコントロールとなっている。　

スラドのコメントを読む | セキュリティセクション | セキュリティ | ソフトウェア | バグ | 医療

　関連ストーリー：
Medtronic、リプレイ攻撃が可能なインスリンポンプ用リモコンを米国で全品回収 2021年10月13日
新潟県のモデルナ製ワクチン約1000回破棄、原因は清掃業者のモップか 2021年07月13日
ZOLLの除細動器管理ソフトウェア、リモートからの任意コード実行など6件の脆弱性が公表される 2021年06月19日