Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Fecha de publicación: 13/01/2021

Importancia: Alta

Recursos afectados:

• Dana Diabecare RS, todas las versiones anteriores a la 3.0;
• AnyDana-i, todas las versiones anteriores a la 3.0;
• AnyDana-A, todas las versiones anteriores a la 3.0.

Descripción:

Los investigadores Julian Suleder, Birk Kauer, Raphael Pavlidis y Nils Emmerich, de ERNW Research GmbH, han reportado a la Oficina Federal para la Seguridad de la Información (BSI) una vulnerabilidad de severidad alta de tipo claves deterministas y 8 vulnerabilidades de severidad media.

Solución:

• Actualizar:
  • Dana Diabecare RS a la versión 3.0, posterior o última disponible.
  • AnyDana-i y AnyDana-A a la versión 3.0 o posterior.
• Adicionalmente, el fabricante recomienda que, en caso de no poder actualizar Dana RS, operar esta siempre en Airplane Mode.

Detalle:

Un atacante, próximo físicamente y no autenticado, podría realizar un ataque de fuerza bruta a través de Bluetooth Low Energy, aprovechando las claves deterministas que utiliza el protocolo de comunicación. Se ha asignado el identificador CVE-2020-27264 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores CVE-2020-27256, CVE-2020-27258, CVE-2020-27266, CVE-2020-27268, CVE-2020-27269, CVE-2020-27270, CVE-2020-27272 y CVE-2020-27276.

Etiquetas: Actualización, Infraestructuras críticas, Sanidad, Vulnerabilidad