Vulnérabilité dans les pompes à insuline Diabecare RS de SOOIL Development

CVE-2020-27264 [Score CVSS v3 : 8,8] : Une vulnérabilité affectant le protocole de communication les pompes à insuline Diabecare RS ainsi que dans leurs applications mobiles AnyDana-i et AnyDana-A a été corrigée. La faille provient du caractère déterministe de l'algorithme de génération des clés cryptographiques utilisé pour les protocoles de communication. Un attaquant peut être en mesure de déchiffrer la clé cryptographique en utilisant une attaque par la force brute via un canal Bluetooth Low Energy.

Informations
+

Risques

  • Atteinte à la confidentialité des données.

Criticité

  • Score CVSS v3 : 8,8

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est proposé publiquement à l’heure actuelle.

Composants vulnérables

  • Toutes les versions de Dana Diabecare RS antérieures à la v3.0 sont impactées par cette vulnérabilité.

  • Toutes les versions de AnyDana-i antérieures à la v3.0 sont impactées par cette vulnérabilité.

  • Toutes les versions  de AnyDana-A antérieures à la v3.0 sont impactées par cette vulnérabilité.

CVE


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour les produits concernés vers la version 3.0 ou vers une version ultérieure.

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l'heure actuelle.