セキュリティ

SECURITY

公開：2025-02-22

【CVE-2025-0574】Sante PACS Server 4.0.9にサービス拒否の脆弱性、認証不要で遠隔攻撃が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Sante PACS Serverにメモリ破損の脆弱性が発見
• 認証なしで遠隔からDoS攻撃が可能
• 脆弱性評価はCVSS 3.0で8.2のハイリスク

Sante PACS Server 4.0.9のサービス拒否脆弱性

Zero Day InitiativeはSante PACS Serverのバージョン4.0.9において深刻な脆弱性【CVE-2025-0574】を2025年1月30日に公開した。この脆弱性はWebサーバーモジュールにおけるURLパスの解析処理に起因しており、ユーザー入力の適切な検証が行われていないことでメモリ破損を引き起こす可能性があるのだ。^[1]

この脆弱性の特徴として、攻撃者が認証を必要とせずにリモートからサービス拒否攻撃を実行できる点が挙げられる。CVSSスコアは8.2と高い危険度を示しており、攻撃の難易度が低く、特別な権限も必要としないことから、早急な対応が求められている。

Zero Day Initiativeはこの脆弱性を「ZDI-CAN-25318」として追跡しており、CWE-119（メモリバッファの境界内での操作の不適切な制限）に分類している。SSVCの評価によると、この脆弱性は自動化された攻撃が可能であり、技術的な影響は部分的とされている。

Sante PACS Server脆弱性の詳細

メモリ破損脆弱性について

メモリ破損脆弱性とは、プログラムがメモリ上のデータを不適切に処理することによって発生する脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• バッファオーバーフローやメモリリークを引き起こす可能性
• システムのクラッシュやサービス停止につながる危険性
• 場合によってはリモートコード実行の踏み台として悪用される

Sante PACS Serverの脆弱性は、Webサーバーモジュールにおけるユーザー入力の検証が不十分であることに起因している。この種の脆弱性は重大なセキュリティリスクとなり得るため、影響を受けるシステムの管理者は速やかにパッチの適用やシステムの更新を検討する必要がある。

Sante PACS Serverの脆弱性に関する考察

医療機関で広く利用されているPACSシステムにおいて、サービス拒否攻撃を引き起こす可能性のある脆弱性の発見は重大な問題だ。医療画像システムの可用性が損なわれることは、診断や治療に直接的な影響を及ぼす可能性があり、患者の安全性を脅かす要因となりかねない。また、認証が不要なリモート攻撃が可能という点は、インターネットに接続された環境での運用において特に大きなリスクとなるだろう。

この脆弱性の影響を軽減するためには、ネットワークレベルでのアクセス制御やWAFの導入など、多層的な防御策の実装が重要となる。特に医療機関においては、システムの可用性と安全性の両立が求められるため、パッチ適用前の十分なテストと、適用後の動作検証が不可欠だ。また、同様の脆弱性を防ぐため、開発プロセスにおけるセキュリティレビューの強化も検討すべきである。

今後はPACSシステム全般において、入力値の検証やメモリ管理に関するセキュリティ機能の強化が期待される。特にWebインターフェースを提供するモジュールについては、定期的なセキュリティ監査と脆弱性診断の実施が重要となるだろう。また、医療システムの特性を考慮した、より堅牢なセキュリティ機能の実装も検討すべきだ。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-0574, (参照 25-02-22).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧