JVNVU#96535665
Medtronic 製 MyCareLink (MCL) Smart Model 25000 Patient Reader に複数の脆弱性

Medtronic が提供する MyCareLink (MCL) Smart Model 25000 Patient Reader には、複数の脆弱性が存在します。

• MyCareLink (MCL) Smart Model 25000 Patient Reader すべてのバージョン

MyCareLink (MCL) Smart Model 25000 Patient Reader は Medtronic が提供する心臓ペースメーカーのモニタ機器です。Medtronic には、次の複数の脆弱性が存在します。

• 不適切な認証 (CWE-287)

  CVSS v3

  CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 8.0

• ヒープベースのバッファオーバーフロー (CWE-122)

  CVSS v3

  CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

  基本値: 8.8

• Time-of-check Time-of-use (TOCTOU) 競合状態 (CWE-367)

  CVSS v3

  CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

  基本値: 8.8

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• Bluetoothの到達範囲にいる第三者のデバイスまたは利用者のデバイス上の悪意のあるアプリケーションが MCL Smart Patient Reader と認証を行い、正規の Medtronic MyCareLink Smart mobile app と詐称して接続させられる - CVE-2020-25183
• MCL Smart Patient Reader にアクセス可能な認証済みの第三者によって、デバッグコマンドを送信されることで、MCL Smart Patient Reader のソフトウェアスタックにヒープベースのバッファオーバーフローが引き起こされ、MCL Smart Patient Reader上で遠隔からコードを実行される。結果として、当該機器を制御される - CVE-2020-25187
• ファームウェアアップデートシステムの競合状態を利用され、悪意のある署名されていないファームウェアを MCL Smart Patient Reader に適用された場合、MCL Smart Patient Reader 上で遠隔からコードを実行される。結果として、当該機器を制御される - CVE-2020-27252

アップデートする
Medtronic が提供する情報をもとに、MCL Smart Patient Reader のファームウェアおよび Medtronic MyCareLink Smart mobile app を最新版へアップデートしてください。Medtronic MyCareLink Smart mobile app を最新版にアップデートすると、次回接続時に MCL Smart Patient Reader のファームウェアが最新版にアップデートされます。
なお、Medtronic MyCareLink Smart mobile app をインストールするスマートフォンの OS は次のバージョンの最新版を利用してください。

• iOS 10 およびそれ以上
• Android 6.0 およびそれ以上