ZOLLの除細動器管理ソフトウェア、リモートからの任意コード実行など6件の脆弱性が公表される 2
ストーリー by nagazou
公表 部門より
公表 部門より
headless 曰く、
旭化成グループ ZOLL Medical の除細動器管理ソフトウェア ZOLL Defibrillator Dashboard で見つかった6件の脆弱性が公表されている(ICSMA-21-161-01、 The Registerの記事)。
CISAによる深刻度評価が最も高い(CVSS v3: 9.9) CVD-2021-27489は、管理者以外のユーザーがWebアプリケーションを通じて悪意あるファイルをアップロード可能というものだ。攻撃者はアップロードしたファイルを利用してリモートからの任意コード実行が可能になる。
このほかの脆弱性は、暗号鍵のハードコード(CVE-2021-27481)、認証情報の平文保存(CVE-2021-27487)、権限の低いユーザーが悪意あるスクリプトを含むパラメーターをWebアプリケーションにインジェクトすることで高い権限のユーザーに実行させることが可能(CVE-2021-27479)、攻撃者が認証情報をWebブラウザーから取得できる状態でのパスワード保存をユーザーに許可(CVE-2021-27485)、不適切なファイルシステムのパーミッション設定により低い権限のユーザーが管理者権限に昇格可能(CVE-2021-27483)、といったものだ。
脆弱性はすべて Defibrillator Dashboard バージョン2.2以降で修正されており、最新版への更新が推奨されている。
最近のAEDはネットワークにつながってるのか (スコア:0)
道端にあるやつじゃなくて病院とかの装置なんだろうか
どっちにしても医療機器を外部と常時接続して使うとかなんか怖い
Re: (スコア:0)
この会社が出しているのは「着用型」の除細動器なので、
ショックを発生させたら医師とか救急にも連絡が飛ぶようになっているのでは?
AEDを使ったからって、復活して動けるようになるわけではないだろうし……
もしくは後から動かなかったと文句言われない為に着けている事を確認するとか。