Múltiples vulnerabilidades en productos SOOIL

Fecha de publicación 13/01/2021
Importancia
4 - Alta
Recursos Afectados
  • Dana Diabecare RS, todas las versiones anteriores a la 3.0;
  • AnyDana-i, todas las versiones anteriores a la 3.0;
  • AnyDana-A, todas las versiones anteriores a la 3.0.
Descripción

Los investigadores Julian Suleder, Birk Kauer, Raphael Pavlidis y Nils Emmerich, de ERNW Research GmbH, han reportado a la Oficina Federal para la Seguridad de la Información (BSI) una vulnerabilidad de severidad alta de tipo claves deterministas y 8 vulnerabilidades de severidad media.

Solución
  • Actualizar:
    • Dana Diabecare RS a la versión 3.0, posterior o última disponible.
    • AnyDana-i y AnyDana-A a la versión 3.0 o posterior.
  • Adicionalmente, el fabricante recomienda que, en caso de no poder actualizar Dana RS, operar esta siempre en Airplane Mode.
Detalle

Un atacante, próximo físicamente y no autenticado, podría realizar un ataque de fuerza bruta a través de Bluetooth Low Energy, aprovechando las claves deterministas que utiliza el protocolo de comunicación. Se ha asignado el identificador CVE-2020-27264 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores CVE-2020-27256, CVE-2020-27258, CVE-2020-27266, CVE-2020-27268, CVE-2020-27269, CVE-2020-27270, CVE-2020-27272 y CVE-2020-27276.

Encuesta valoración

Listado de referencias
ICS Medical Advisory (ICSMA-21-012-01) SOOIL Dana Diabecare RS Products
Etiquetas