病院などで使われる薬剤管理システム「Pyxis SupplyStation」の旧バージョンに、1418件の脆弱性が存在していることが分かった。
病院などで薬物治療や投薬管理に使われるシステムに多数の脆弱性が存在することが分かり、米セキュリティ機関ICS-CERTが3月29日にセキュリティ情報を公開して対応を呼び掛けた。
脆弱性が存在するのはCareFusion(米Becton, Dickinson and Companyの子会社)の薬剤管理システム「Pyxis SupplyStation」の旧バージョン。サポート期限が切れているMicrosoftのServer 2003およびWindows XPで稼働しているシステムが影響を受ける。
2010年4月に更新されたPyxisのバージョン8.1.3を研究者が再販業者から入手して調べたところ、Windows XPのほか「BMC Appsight」や「SAP Crystal Reports」など7種類のソフトウェアコンポーネントのレガシーバージョンに、計1418件の脆弱性が存在していることが分かった。
脆弱性はリモートからの悪用が可能で、スキルの低い攻撃者でも悪用でき、脆弱性を突くコードも出回っているという。
CareFusionも、サポート期限の切れたServer 2003とWindows XPで稼働しているPyxis SupplyStationに脆弱性が存在することを確認し、顧客にアップグレードを勧告。アップグレードできない顧客に対してもリスク低減のための対策を呼び掛けている。
Copyright © ITmedia, Inc. All Rights Reserved.