Canon Medical Product Vulnerabilities Expose Patient Information
2022/09/30 SecurityWeek — Trustwave は、Canon Medical の医療画像共有ツール Vitrea View に、2つのクロスサイト・スクリプティング (XSS:cross-site scripting) の脆弱性が存在すると、医療機関に警告を発している。企業向け閲覧ソリューションとして知られる Vitrea View は、医療機関/医師/放射線技師などが医療画像を安全に共有するために使用され、デスクトップ/モバイルデバイスの両方でブラウザからアクセスができる。
これらの2つのセキュリティ脆弱性は、CVE-2022-37461 としてまとめて追跡されており、エラーメッセージと管理パネルに反映される XSS 脆弱性と説明されている。
Trustwave によると、この脆弱性の悪用に成功した攻撃者は、保存されている画像やスキャン画像を含む患者情報の取得/情報の改ざんなどを可能にするという。また、Vitrea View と統合されたサービスの、機密情報/認証情報の漏洩につながる可能性もあるようだ。
CVE-2022-37461としてまとめられている1つ目の脆弱性は、/vitrea-view/error/ のエラーページに存在する。/error/ サブディレクトリ以降の、すべての入力がユーザーにリフレクトされるため、認証なしでの侵入が可能になる。
Trustwave は、「ユーザーが有効な Vitrea View セッションを持っている場合に、影響を受ける URL への移動を強制されると、患者情報の取得や、保存された画像/スキャンの取得などを実行できるよう、そのセッションの権限が変更される可能性がある」と述べている。
2つ目の脆弱性は、ツールの管理パネルに存在しており、Group and Users ページの検索機能に影響を及ぼす。groupID/offset/limit を検索する際に、想定される数値入力に代えて、テキストが入力された場合の入力内容がユーザーにリフレクトされる。
Trustwave は、「前回の調査結果と同様に、リフレクトされた入力内容はスペースを許さないため、若干は制限される。認証された管理者が、URL へのアクセスを強制されることで、脅威アクターは Vitrea View アプリケーションが使用する、Python/JavaScript/Groovy などのスクリプトの作成/変更が可能になる」と説明している。
同社は、この脆弱性を対象とする PoC エクスプロイト・コードを公開している。また、Canon Medical は、Vitrea View 7.7.6 のリリースにより、これらの脆弱性に対処している。
医療分野におけるインシデントは、カテゴリ HealthCare にまとめられていますが、医療機器の脆弱性はそれほど多くありません。これまでに、2021年10月6日の「Medtronic インスリン・ポンプに欠陥:緊急リコールが実施される」および、11月5日の「Philips Tasy EMR ヘルスケアに深刻な SQL インジェクションの脆弱性」、2022年3月3日の「医療用輸液ポンプのセキュリティ:古いデバイスの古い脆弱性が危険な状況に」などがありました。
IoT OT Security News 
You must be logged in to post a comment.