JVNDB-2020-009961

Medtronic 製 MyCareLink Smart Model 25000 Patient Reader に複数の脆弱性

MyCareLink (MCL) Smart Model 25000 Patient Reader は Medtronic が提供する心臓ペースメーカーのモニタ機器です。Medtronic には、次の複数の脆弱性が存在します。

　* 不適切な認証 (CWE-287)

　* ヒープベースのバッファオーバーフロー (CWE-122)

　* Time-of-check Time-of-use (TOCTOU) 競合状態 (CWE-367)

Medtronic

• MyCareLink Smart 25000 Patient Reader すべてのバージョン

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

　* Bluetoothの到達範囲にいる第三者のデバイスまたは利用者のデバイス上の悪意のあるアプリケーションが MCL Smart Patient Reader と認証を行い、正規の Medtronic MyCareLink Smart mobile app と詐称して接続させられる - CVE-2020-25183
　* MCL Smart Patient Reader にアクセス可能な認証済みの第三者によって、デバッグコマンドを送信されることで、MCL Smart Patient Reader のソフトウェアスタックにヒープベースのバッファオーバーフローが引き起こされ、MCL Smart Patient Reader上で遠隔からコードを実行される。結果として、当該機器を制御される - CVE-2020-25187
　* ファームウェアアップデートシステムの競合状態を利用され、悪意のある署名されていないファームウェアを MCL Smart Patient Reader に適用された場合、MCL Smart Patient Reader 上で遠隔からコードを実行される。結果として、当該機器を制御される - CVE-2020-27252

[アップデートする]
Medtronic が提供する情報をもとに、MCL Smart Patient Reader のファームウェアおよび Medtronic MyCareLink Smart mobile app を最新版へアップデートしてください。Medtronic MyCareLink Smart mobile app を最新版にアップデートすると、次回接続時に MCL Smart Patient Reader のファームウェアが最新版にアップデートされます。
なお、Medtronic MyCareLink Smart mobile app をインストールするスマートフォンの OS は次のバージョンの最新版を利用してください。

　* iOS 10 およびそれ以上
　* Android 6.0 およびそれ以上

Medtronic

• Medtronic : Security bulletin : Medtronic MyCareLink Smart Security Vulnerability Patch

1. ヒープベースのバッファオーバーフロー(CWE-122) [IPA評価]
2. 不適切な認証(CWE-287) [IPA評価]
3. Time-of-check Time-of-use (TOCTOU) 競合状態(CWE-367) [IPA評価]

1. CVE-2020-25183
2. CVE-2020-25187
3. CVE-2020-27252

1. JVN : JVNVU#96535665
2. National Vulnerability Database (NVD) : CVE-2020-25183
3. National Vulnerability Database (NVD) : CVE-2020-25187
4. National Vulnerability Database (NVD) : CVE-2020-27252
5. ICS-CERT ADVISORY : ICSMA-20-345-01

• [2020年12月14日]
    掲載