公開日:2021/01/13 最終更新日:2021/01/13

JVNVU#99322606
複数の SOOIL Developments 製品に脆弱性

概要

複数の SOOIL Developments 製品には、脆弱性が存在します。

影響を受けるシステム

  • Dana Diabecare RS バージョン3.0より前のすべてのバージョン
  • AnyDana-i バージョン3.0より前のすべてのバージョン
  • AnyDana-A バージョン3.0より前のすべてのバージョン

詳細情報

Dana Diabecare RS, AnyDana-i,AnyDana-A は、インスリンを制御するための製品、およびモバイルアプリケーションです。
SOOIL Developments 社が提供する複数の製品には、次の脆弱性が存在します。

  • ハードコードされた認証情報の使用 (CWE-798) - CVE-2020-27256
    CVSS v3 CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N 基本値: 4.6
  • 認証情報の不十分な保護 (CWE-522) - CVE-2020-27258
    CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 6.5
  • 不十分なランダム値の使用 (CWE-330) - CVE-2020-27264
    CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L 基本値: 7.6
  • クライアントサイド認証の使用 (CWE-603) - CVE-2020-27266
    CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 6.5
  • サーバサイドのセキュリティをクライアントサイドで適用 (CWE-602) - CVE-2020-27268
    CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 6.5
  • Capture-replay による認証回避 (CWE-294) - CVE-2020-27269
    CVSS v3 CVSS:3.0/AV:A/AC:H/PR:N/UI:R/S:U/C:L/I:H/A:N 基本値: 5.4
  • 認証情報の保護しない転送 (CWE-523) - CVE-2020-27270
    CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N 基本値: 5.7
  • エンティティ認証を伴わない鍵交換 (CWE-322) - CVE-2020-27272
    CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N 基本値: 5.7
  • スプーフィングによる認証回避 (CWE-290) - CVE-2020-27276
    CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N 基本値: 5.7

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 装置に物理的にアクセス可能な第三者によって、インスリン治療の設定を変更される - CVE-2020-27256
  • 認証されていない第三者によって、Bluetooth Low Energy を介してポンプのキーパッドロック PIN を窃取される - CVE-2020-27258
  • 認証されていない第三者によって、Bluetooth Low Energy を介してブルートフォース攻撃が行われ、装置間の通信内容を盗聴される - CVE-2020-27264
  • 認証されていない第三者によって、Bluetooth Low Energy を介してユーザ認証を回避される - CVE-2020-27266
  • 認証されていない第三者によって、Bluetooth Low Energy を介してデフォルトPINのチェックを回避される - CVE-2020-27268
  • 認証されていない第三者によって、Bluetooth Low Energy を介してリプレイ攻撃が行われ、情報を窃取されたり改ざんされたりする - CVE-2020-27269
  • 認証されていない第三者によって、Bluetooth Low Energy を介して通信用の暗号化キーを盗聴される - CVE-2020-27270
  • 認証されていない第三者によって、Bluetooth Low Energy を介して通信用のキーを盗聴され、ポンプになりすまされる - CVE-2020-27272
  • 認証されていない第三者によって、Bluetooth Low Energy を介して認証通信を窃取される - CVE-2020-27276

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正したバージョンをリリースしています。

  • Dana Diabecare RS バージョン3.0
  • AnyDana-i バージョン3.0
  • AnyDana-A バージョン3.0
ワークアラウンドを実施する
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
  • Dana RS ポンプを常に機内モードで操作する
  • モバイルアプリケーションの AnyDana-i または AniDana-A を最新のバージョン3.0以降にアップデートする。
なお、モバイルアプリケーションのアップデート後でもバージョン3.0以前がインストールされた Dana RS インスリンポンプを継続して操作することが可能とのことです。

ベンダ情報

参考情報

  1. ICS Medical Advisory (ICSMA-21-012-01)
    SOOIL Dana Diabecare RS Products

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-27269
CVE-2020-27270
CVE-2020-27272
CVE-2020-27276
CVE-2020-27256
CVE-2020-27258
CVE-2020-27264
CVE-2020-27266
CVE-2020-27268
JVN iPedia