Swisslog Healthcare製Translogic PTSに複数の脆弱性 | ScanNetSecurity
2024.05.13(月)
コンテンツ
注目検索ワード
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事

Swisslog Healthcare製Translogic PTSに複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月5日、Swisslog Healthcare製Translogic PTSにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月5日、Swisslog Healthcare製Translogic PTSにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

Nexus Control Panel 7.2.5.7より前のすべてのバージョン

 JVNによると、Swisslog Healthcareが提供するTranslogic PTS(Pneumatic Tube Systems)には、以下の複数の脆弱性が存在する。

・ダウンロードしたコードの完全性検証不備(CVE-2021-37160)
・整数アンダーフロー(CVE-2021-37161、CVE-2021-37162、CVE-2021-37165)
・ハードコードされたパスワードの使用(CVE-2021-37163)
・境界外書き込み(CVE-2021-37164)
・不適切な認証(CVE-2021-37166)
・不要な特権による実行(CVE-2021-37167)

 想定される影響は各脆弱性によって異なるが、以下の影響を受ける可能性がある。

・遠隔の第三者によって内部のキューのデータを上書きされ任意のコードを実行される(CVE-2021-37161、CVE-2021-37162)
・遠隔の第三者によってNexus Control Panelからハードコードされたパスワードにアクセスされる(CVE-2021-37163)
・遠隔の第三者によってHMIに細工されたメッセージを送られ任意のコードを実行される(CVE-2021-37165)
・遠隔の第三者によって接続を乗っ取られる(CVE-2021-37166)
・デフォルトの認証情報を利用してログインすることで、root権限でデバイスのすべての機能を利用される(CVE-2021-37167)

 JVNでは、開発者がCVE-2021-37160以外を修正した「Nexus Control Panel 7.2.5.7」にアップデートした上で、以下の回避策を実施するよう注意を呼びかけている。

・ネットワーク上のVLAN間トラフィックを制限するネットワークファイアウォールは、システムコントロールセンター(SCC)のWindows firewallsに列挙された、内部ネットワーク接続に対するインバウンドおよびアウトバウンド設定されたポートのみ許可する
・SCCとフロアデバイスの間にファイアウォールがない場合は、PTSフロア機器専用のLayer 3 VLANに拡張アクセスコントロールリスト(ACL)を適用する
・SNORTなどのIDS(侵入検知システム)を使用して、悪用の試みを検出する。
《ScanNetSecurity》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

NVIDIA ChatRTX に脆弱性、アップデートをリリース 画像

NVIDIA ChatRTX に脆弱性、アップデートをリリース
WordPress 用プラグイン Heateor Social Login WordPress に XSS の脆弱性 画像

WordPress 用プラグイン Heateor Social Login WordPress に XSS の脆弱性
北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度] 画像

北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]
トレンドマイクロ製ウイルスバスター クラウドにファイルリンク解決処理の不備 画像

トレンドマイクロ製ウイルスバスター クラウドにファイルリンク解決処理の不備
デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ 画像

デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ
JPRS、PowerDNS Recursor の DoS 攻撃が可能になる脆弱性に注意喚起 画像

JPRS、PowerDNS Recursor の DoS 攻撃が可能になる脆弱性に注意喚起

インシデント・事故 記事一覧へ

東京電力エナジーパートナー、電力・ガス取引監視等委員会からの報告徴収に対する報告書提出 画像

東京電力エナジーパートナー、電力・ガス取引監視等委員会からの報告徴収に対する報告書提出
新日本プロレスリングオフィシャルファンクラブ会員情報を保存した USB メモリ紛失 画像

新日本プロレスリングオフィシャルファンクラブ会員情報を保存した USB メモリ紛失
ホビー・キャラクター関連商品販売 アルジャーノンプロダクトのホームページで不正アクセスが原因の表示トラブル 画像

ホビー・キャラクター関連商品販売 アルジャーノンプロダクトのホームページで不正アクセスが原因の表示トラブル
豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし 画像

豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし
テレビ宮崎グループ会社にランサムウェア攻撃、請求書発行システムを停止 画像

テレビ宮崎グループ会社にランサムウェア攻撃、請求書発行システムを停止
法人間決済サービスの UPSIDER で利用可能枠やメールアドレス情報が記載されたメール誤送信 画像

法人間決済サービスの UPSIDER で利用可能枠やメールアドレス情報が記載されたメール誤送信

調査・レポート・白書・ガイドライン 記事一覧へ

サイバーセキュリティ人材、女性の平均給与は男性と約80万円差 ~ ISC2 調査 画像

サイバーセキュリティ人材、女性の平均給与は男性と約80万円差 ~ ISC2 調査
Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」 画像

Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」
ロシア からの攻撃が 6 割、EGセキュア「SiteGuard セキュリティレポート(2024.1Q)」公表 画像

ロシア からの攻撃が 6 割、EGセキュア「SiteGuard セキュリティレポート(2024.1Q)」公表
社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査 画像

社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査
国立国会図書館 調査及び立法考査局「令和 6 年能登半島地震への対応」総括、ソーシャルメディアの功罪も 画像

国立国会図書館 調査及び立法考査局「令和 6 年能登半島地震への対応」総括、ソーシャルメディアの功罪も
「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢 画像

「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢

研修・セミナー・カンファレンス 記事一覧へ

セキュリティマネージャーに捧ぐ「理想の脆弱性診断のプロセス」実現方法 ~ 5/23 解説セミナー開催 画像

セキュリティマネージャーに捧ぐ「理想の脆弱性診断のプロセス」実現方法 ~ 5/23 解説セミナー開催
脆弱性診断の「基本のキ」企業での取り組み事例を交えながらリアルに解説 画像

脆弱性診断の「基本のキ」企業での取り組み事例を交えながらリアルに解説
ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向 画像

ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向
SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感 画像

SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感
トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催 画像

トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催
札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料 画像

札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

製品・サービス・業界動向 記事一覧へ

2000~2024年のサイバー史「JNSAセキュリティ年表」公開 画像

2000~2024年のサイバー史「JNSAセキュリティ年表」公開
三菱電機がフィリピン空軍に移動式警戒管制レーダーを納入、引き続き納入に向け尽力 画像

三菱電機がフィリピン空軍に移動式警戒管制レーダーを納入、引き続き納入に向け尽力
経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視 画像

経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視
外務省、偽情報の拡散を含む情報操作への対応を公表 画像

外務省、偽情報の拡散を含む情報操作への対応を公表
「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応 画像

「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応
KELA、生成 AI セキュリティソリューション「AiFort」提供開始 画像

KELA、生成 AI セキュリティソリューション「AiFort」提供開始

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×