【活用ガイド】

JVNDB-2021-001006

複数の SOOIL Developments 製品に脆弱性

概要

Dana Diabecare RS、AnyDana-i、AnyDana-A は、インスリンを制御するための製品、およびモバイルアプリケーションです。
SOOIL Developments 社が提供する複数の製品には、次の脆弱性が存在します。

 * ハードコードされた認証情報の使用 (CWE-798) - CVE-2020-27256
 * 認証情報の不十分な保護 (CWE-522) - CVE-2020-27258
 * 不十分なランダム値の使用 (CWE-330) - CVE-2020-27264
 * クライアントサイド認証の使用 (CWE-603) - CVE-2020-27266
 * サーバサイドのセキュリティをクライアントサイドで適用 (CWE-602) - CVE-2020-27268
 * Capture-replay による認証回避 (CWE-294) - CVE-2020-27269
 * 認証情報の保護しない転送 (CWE-523) - CVE-2020-27270
 * エンティティ認証を伴わない鍵交換 (CWE-322) - CVE-2020-27272
 * スプーフィングによる認証回避 (CWE-290) - CVE-2020-27276
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 4.6 (警告) [IPA値]
  • 攻撃元区分: 物理
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): 高
  • 可用性への影響(A): なし
※上記は、CVE-2020-27256の評価になります。


CVSS v3 による深刻度
基本値: 6.5 (警告) [IPA値]
  • 攻撃元区分: 隣接
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし
※上記は、CVE-2020-27258の評価になります。


CVSS v3 による深刻度
基本値: 7.6 (重要) [IPA値]
  • 攻撃元区分: 隣接
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 低
  • 可用性への影響(A): 低
※上記は、CVE-2020-27264の評価になります。


CVSS v3 による深刻度
基本値: 6.5 (警告) [IPA値]
  • 攻撃元区分: 隣接
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし
※上記は、CVE-2020-27266の評価になります。


CVSS v3 による深刻度
基本値: 6.5 (警告) [IPA値]
  • 攻撃元区分: 隣接
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし
※上記は、CVE-2020-27268の評価になります。


CVSS v3 による深刻度
基本値: 5.4 (警告) [IPA値]
  • 攻撃元区分: 隣接
  • 攻撃条件の複雑さ: 高
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 低
  • 完全性への影響(I): 高
  • 可用性への影響(A): なし
※上記は、CVE-2020-27269の評価になります。


CVSS v3 による深刻度
基本値: 5.7 (警告) [IPA値]
  • 攻撃元区分: 隣接
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし
※上記は、CVE-2020-27270の評価になります。


CVSS v3 による深刻度
基本値: 5.7 (警告) [IPA値]
  • 攻撃元区分: 隣接
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし
※上記は、CVE-2020-27272の評価になります。


CVSS v3 による深刻度
基本値: 5.7 (警告) [IPA値]
  • 攻撃元区分: 隣接
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし
※上記は、CVE-2020-27276の評価になります。
影響を受けるシステム


SOOIL Developments Co., Ltd
  • AnyDana-A バージョン 3.0 より前のすべてのバージョン
  • AnyDana-i バージョン 3.0 より前のすべてのバージョン
  • Dana Diabecare RS バージョン 3.0 より前のすべてのバージョン

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

 * 装置に物理的にアクセス可能な第三者によって、インスリン治療の設定を変更される - CVE-2020-27256
 * 認証されていない第三者によって、Bluetooth Low Energy を介してポンプのキーパッドロック PIN を窃取される - CVE-2020-27258
 * 認証されていない第三者によって、Bluetooth Low Energy を介してブルートフォース攻撃が行われ、装置間の通信内容を盗聴される - CVE-2020-27264
 * 認証されていない第三者によって、Bluetooth Low Energy を介してユーザ認証を回避される - CVE-2020-27266
 * 認証されていない第三者によって、Bluetooth Low Energy を介してデフォルトPINのチェックを回避される - CVE-2020-27268
 * 認証されていない第三者によって、Bluetooth Low Energy を介してリプレイ攻撃が行われ、情報を窃取されたり改ざんされたりする - CVE-2020-27269
 * 認証されていない第三者によって、Bluetooth Low Energy を介して通信用の暗号化キーを盗聴される - CVE-2020-27270
 * 認証されていない第三者によって、Bluetooth Low Energy を介して通信用のキーを盗聴され、ポンプになりすまされる - CVE-2020-27272
 * 認証されていない第三者によって、Bluetooth Low Energy を介して認証通信を窃取される - CVE-2020-27276
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正したバージョンをリリースしています。

 * Dana Diabecare RS バージョン 3.0
 * AnyDana-i バージョン 3.0
 * AnyDana-A バージョン 3.0

[ワークアラウンドを実施する]
以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
 * Dana RS ポンプを常に機内モードで操作する。
 * モバイルアプリケーションの AnyDana-i または AniDana-A を最新のバージョン 3.0以降にアップデートする。

なお、モバイルアプリケーションのアップデート後でもバージョン 3.0 以前がインストールされた Dana RS インスリンポンプを継続して操作することが可能とのことです。
ベンダ情報

CWEによる脆弱性タイプ一覧  CWEとは?

  1. スプーフィングによる認証回避(CWE-290) [IPA評価]
  2. Capture-replay による認証回避(CWE-294) [IPA評価]
  3. エンティティ認証のない鍵交換(CWE-322) [IPA評価]
  4. 不十分なランダム値の使用(CWE-330) [IPA評価]
  5. 認証情報の不十分な保護(CWE-522) [IPA評価]
  6. 認証情報の保護しない転送(CWE-523) [IPA評価]
  7. サーバ側のセキュリティのクライアント側での実施(CWE-602) [IPA評価]
  8. クライアント側認証の使用(CWE-603) [IPA評価]
  9. ハードコードされた認証情報の使用(CWE-798) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2020-27269
  2. CVE-2020-27270
  3. CVE-2020-27272
  4. CVE-2020-27276
  5. CVE-2020-27256
  6. CVE-2020-27258
  7. CVE-2020-27264
  8. CVE-2020-27266
  9. CVE-2020-27268
参考情報

  1. JVN : JVNVU#99322606
  2. ICS-CERT ALERT : ICSMA-21-012-01
更新履歴

  • [2021年01月14日]
      掲載