Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Philipsの医療用画像管理システムに深刻な脆弱性

Philipsが提供する医療用画像管理システム「Vue PACS」や関連製品にあわせて16件の脆弱性が明らかとなった。CVSS値が高い脆弱性も複数含まれており注意が必要だ。

「Vue PACS」「Vue MyVue」「Vue Speech」「Vue Motion」において、実装するオープンソースソフトウェアやサードパーティに起因する既知の脆弱性を含め、あわせて脆弱性16件の影響を受けることが判明したもの。

同社より米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)に対して報告があり、グローバルの医療分野で広く利用されていることから、同庁では注意喚起を行った。

入力値に対する検証不備の脆弱性「CVE-2020-1938」や、安全ではないリソースの初期化「CVE-2018-8014」など「Apache Tomcat」に起因する脆弱性や、サードパーティ製コンポーネント「Redis」に含まれるメモリ処理の脆弱性「CVE-2018-12326」「CVE-2018-11218」、「IBM Planning Analytics Local 2.0」における認証処理の脆弱性「CVE-2020-4670」など、5件の脆弱性については、共通脆弱性評価システム「CVSSv3」のベーススコアが「9.8」と評価されている。

また既知の脆弱性にくわえて、「CVE-2021-27493」「CVE-2021-27497」「CVE-2021-27501」「CVE-2021-33018」「CVE-2021-33020」「CVE-2021-33022」「CVE-2021-33024」など、2021年に入り、2月と5月にCVE番号がアサインされた脆弱性も含まれる。

(Security NEXT - 2021/07/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

都の医療従事者向け「ワクチン接種予約システム」に複数不具合
医療機関向けデータ管理システムの旧版に深刻な脆弱性
2020年2Qの「標的型攻撃メール」は87件 - いずれも「BEC」
IoT機器で広く採用される「Treck TCP/IP Stack」に深刻な脆弱性
露「APT29」、ワクチン情報狙いサイバー攻撃か - 2018年の国内検知マルウェアとも関連
BD製医療機器にキオスクモード回避のおそれ
複数無線LAN製品に脆弱性「BLEEDINGBIT」 - TI製BLEチップに起因、医療機器にも影響か
マルウェア画像のFAX送信で受信端末乗っ取る「Faxploit」 - 複合機踏み台にネットワーク攻撃のおそれも
GE Healthcareの複数医療機器に認証回避のおそれ - 米機関が注意喚起
ベリサーブ、「IoTセキュリティリスク分析支援ソリューション」を提供