公開日:2021/07/16 最終更新日:2021/07/16

JVNVU#92529180
Ypsomed製mylifeに複数の脆弱性

概要

Ypsomed社が提供するmylife Cloudおよび、モバイルアプリケーションであるmylife Appには、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2021-27491、CVE-2021-27495

  • Ypsomed mylife Cloud 1.7.2より前のすべてのバージョン
CVE-2021-27499、CVE-2021-27503
  • Ypsomed mylife Cloud 1.7.2より前のすべてのバージョン
  • Ypsomed mylife App 1.7.5より前のすべてのバージョン

詳細情報

Ypsomed社が提供するmylife Cloud、mylife Appには、次の複数の脆弱性が存在します。

  • 認証情報の不十分な保護 (CWE-522) - CVE-2021-27491
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N 基本値: 5.8
  • 認証情報の不十分な保護 (CWE-522) - CVE-2021-27495
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:N 基本値: 6.3
  • CBCモードで使用する初期化ベクトルがランダム値ではない問題 (CWE-329) - CVE-2021-27499
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N 基本値: 5.4
  • ハードコードされた認証情報を使用している問題 (CWE-798) - CVE-2021-27503
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N 基本値: 5.4

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、登録プロセス中に、ハッシュ化されたパスワード情報を窃取される - CVE-2021-27491
  • 製品にログインする際、HTTPSからHTTPのエンドポイントにリダイレクトした場合においても入力したユーザパスワードが保持されるため、遠隔の第三者によりパスワード情報を窃取される - CVE-2021-27495
  • アプリとクラウドサービスとの間で行われる通信の暗号化に用いる初期化ベクトル(IV)がランダム値でないため、中間者攻撃を行っている遠隔の第三者によってメッセージが窃取されたり改ざんされたりする - CVE-2021-27499
  • アプリとクラウドサービスとの間で通信を行う際に、ハードコードされた認証情報を用いて暗号化を行うため、中間者攻撃を行っている遠隔の第三者によってメッセージが窃取されたり改ざんされたりする - CVE-2021-27503

対策方法

アップデートする
Ypsomed社が提供する情報をもとに、mylife Appを最新版へアップデートしてください。Ypsomedは対応版として下記をリリースしています。

  • mylife App version 1.7.5
また、Ypsomedはmylife Cloudの該当バージョンについても対応済みとしています。

ベンダ情報

参考情報

  1. ICS Medical Advisory (ICSMA-21-196-01)
    Ypsomed mylife

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia