公開日:2021/01/13 最終更新日:2021/01/13
JVNVU#99322606
複数の SOOIL Developments 製品に脆弱性
複数の SOOIL Developments 製品には、脆弱性が存在します。
- Dana Diabecare RS バージョン3.0より前のすべてのバージョン
- AnyDana-i バージョン3.0より前のすべてのバージョン
- AnyDana-A バージョン3.0より前のすべてのバージョン
Dana Diabecare RS, AnyDana-i,AnyDana-A は、インスリンを制御するための製品、およびモバイルアプリケーションです。
SOOIL Developments 社が提供する複数の製品には、次の脆弱性が存在します。
- ハードコードされた認証情報の使用 (CWE-798) - CVE-2020-27256
CVSS v3 CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N 基本値: 4.6 - 認証情報の不十分な保護 (CWE-522) - CVE-2020-27258
CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 6.5 - 不十分なランダム値の使用 (CWE-330) - CVE-2020-27264
CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L 基本値: 7.6 - クライアントサイド認証の使用 (CWE-603) - CVE-2020-27266
CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 6.5 - サーバサイドのセキュリティをクライアントサイドで適用 (CWE-602) - CVE-2020-27268
CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 6.5 - Capture-replay による認証回避 (CWE-294) - CVE-2020-27269
CVSS v3 CVSS:3.0/AV:A/AC:H/PR:N/UI:R/S:U/C:L/I:H/A:N 基本値: 5.4 - 認証情報の保護しない転送 (CWE-523) - CVE-2020-27270
CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N 基本値: 5.7 - エンティティ認証を伴わない鍵交換 (CWE-322) - CVE-2020-27272
CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N 基本値: 5.7 - スプーフィングによる認証回避 (CWE-290) - CVE-2020-27276
CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N 基本値: 5.7
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 装置に物理的にアクセス可能な第三者によって、インスリン治療の設定を変更される - CVE-2020-27256
- 認証されていない第三者によって、Bluetooth Low Energy を介してポンプのキーパッドロック PIN を窃取される - CVE-2020-27258
- 認証されていない第三者によって、Bluetooth Low Energy を介してブルートフォース攻撃が行われ、装置間の通信内容を盗聴される - CVE-2020-27264
- 認証されていない第三者によって、Bluetooth Low Energy を介してユーザ認証を回避される - CVE-2020-27266
- 認証されていない第三者によって、Bluetooth Low Energy を介してデフォルトPINのチェックを回避される - CVE-2020-27268
- 認証されていない第三者によって、Bluetooth Low Energy を介してリプレイ攻撃が行われ、情報を窃取されたり改ざんされたりする - CVE-2020-27269
- 認証されていない第三者によって、Bluetooth Low Energy を介して通信用の暗号化キーを盗聴される - CVE-2020-27270
- 認証されていない第三者によって、Bluetooth Low Energy を介して通信用のキーを盗聴され、ポンプになりすまされる - CVE-2020-27272
- 認証されていない第三者によって、Bluetooth Low Energy を介して認証通信を窃取される - CVE-2020-27276
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正したバージョンをリリースしています。
- Dana Diabecare RS バージョン3.0
- AnyDana-i バージョン3.0
- AnyDana-A バージョン3.0
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
- Dana RS ポンプを常に機内モードで操作する
- モバイルアプリケーションの AnyDana-i または AniDana-A を最新のバージョン3.0以降にアップデートする。
-
ICS Medical Advisory (ICSMA-21-012-01)
SOOIL Dana Diabecare RS Products
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2020-27269 |
CVE-2020-27270 |
|
CVE-2020-27272 |
|
CVE-2020-27276 |
|
CVE-2020-27256 |
|
CVE-2020-27258 |
|
CVE-2020-27264 |
|
CVE-2020-27266 |
|
CVE-2020-27268 |
|
JVN iPedia |
|