更新情報
対象製品
推奨処置:ZEISS FORUM
最新情報:ZEISS CALLISTO eye
影響がないことが確認されている製品

Apache Log4j の脆弱性対策について(CVE-2021-44228)

概要:
悪意のある攻撃者が当該コンピューター上にアクセス・操作ができる場合において、意図的に悪意をもって細工した文字列を送信した場合、Log4jがログとして記録することで任意のコードが実行される可能性がある脆弱性です。
 

2021年12月15日更新情報:

ZEISSでは、直ちにスクフォースを立ち上げ、潜在的な脆弱性の特定、データの収集と分析を行い、開発者チームと共に調査・対応を実施いたしました。

2021年12月22日更新情報:

FORUM製品向けのLog4jパッチのバージョン1.0.2を公開いたします。

対象製品

本脆弱性は、以下のZEISS FORUMバージョンが含まれます。ただし、日本国内でのFORUM運用方法では外部インターネットに公開した運用を一切していないため、外部から当該脆弱性を使用した攻撃を受ける恐れはありません。

  • ZEISS FORUM 4.2.x

この問題はサイバーセキュリティにのみ関連し、患者への健康と安全を損なうものではありません。また、ZEISS FORUM関連製品の安全性や性能にも影響はありません。

推奨処置:ZEISS FORUM

Log4Jライブラリから脆弱なクラス(JndiLookup.class)を削除するパッチを公開しております。このパッチは、シャットダウン前にFORUMコンピュータ上で1回実行することで適用可能です。

詳細については、お近くのZEISSサービスチームまでお問い合わせください。

適用手順について セキュリティパッチのダウンロードリンク先

Download the PDF

Download the patch (WINDOWS)

Download (checksum for WINDOWS)

Download the patch (macOS)

Download (checksum for macOS)

最新情報:ZEISS CALLISTO eye

CALLISTO eye ソフトウェア バージョン 3.6.x および 3.7.x に関して、Log4J のリスク評価を完了しました。
CALLISTO eye Software バージョン 3.5.x に対しては、原則的に Log4J CVE-2021-44228 による脆弱性が存在することが判明しています。

ただし、本脆弱性を利用した攻撃は、以下条件の全てを満たす必要があるため、外部から当該脆弱性を使用した攻撃を受ける恐れはありません:

  • 内部デバイスの仕様を含むインサイダー知識
  • 定義されたいくつかの連続したアクションの実行と、
  • 攻撃者は手術室で機器に物理的にアクセスし操作するか、内部のサブネットワークにアクセスし、ZEISSの通信プロトコルとファイル規格に関する固有の知識を有すること。

仮に、これらの複数の要件がすべて共同で満たされたとしても、攻撃者は機器自体のサイバーセキュリティ対策と顧客のITインフラのセキュリティ対策を通過し、その後インターネットから悪質なコードをダウンロードする必要があります。

従って、CALLISTO eye Software 3.6.x または 3.7.x のそれぞれの Log4J の脆弱性を悪用する可能性は、全体として非常に低いと見ています。なお、この脆弱性は、患者の安全性と性能に影響するものではありません。

仮に、CALLISTOの動作が阻害された場合に於いても手術用顕微鏡自体への影響はありません。CALLISTO eye は特殊なソフトウェアアーキテクチャを採用しており、インサイダー知識がなければ一般的な攻撃は困難です。また、ソフトウエアを変更するために、機器にリモートアクセスすることはできません。

脆弱性の悪用が成功する可能性は極めて低いものの、すでに脆弱性を解消するための解決策に取り組んでいます。

CALLISTO eye Software 3.6.x および 3.7.x は、Log4J の脆弱性 CVE-2021-44228 に関するリスクを完全に軽減するものではないことを認識していただくことは、私たちの責任であると考えています。

例えば、手術室で権限のない人が操作のためにデバイスにアクセスすることを許可しない、病院のインフラで追加のセキュリティ対策を実施するなど、リスクをさらに軽減することができるかもしれません。

影響がないことが確認されている製品:

以下の機器およびシステムにおいて、脆弱性CVE-2021-44228の影響がないことを確認しております。

  • KINEVO 900
  • TIVATO 700
  • CALLISTO 3.5.1
  • FORUM Cloud Viewer
  • Cloud Migration Tool
  • EQ Mobile
  • CIRRUS 400/4000/500/5000/6000 all versions
  • PLEX ELITE 9000 all versions
  • CLARUS 500/700 all versions
  • HFA3 all versions
  • ATLAS 9000 all versions
  • CIRRUS Photo 600/800 all versions
  • MATRIX all versions
  • ARI Network
  • LUMERA 3.2 and lower versions
  • LUMERA 700 /i
  • LUMERA 300
  • PENTERO 800/900
  • VARIO 700
  • ZCalc
  • FORUM ASSIST match 1.5
  • FORUM LINK net
  • IOL Master 700
  • ZEISS SMART SERVICES
  • ZEISS KINEVO App
  • i.Profiler plus
  • LS COMFORT 80
  • VISUCAM 200
  • MEL 80
  • MEL 90
  • VISUMAX 500
  • CRS Master II
  • LSC80 Combi
  • LIO 532s
  • LIO - TRION
  • VISULAS 532
  • VISULAS GREEN
  • VISULAS TRION
  • VISULAS YAG
  • VISUCAM PRO NM
  • LSL YAG
  • LSL TRION
  • SL all versions
  • SL Workstation
  • VISUCAM 500
  • ZEISS EXTARO 300 ENT
  • ZEISS EXTARO 300 Dental

他の機器やシステムに対する堅牢性への知見やソリューションが確認され次第、直ちにお知らせします。

発行日:2022年2月15日
最終更新日:2022年2月15日