Múltiples vulnerabilidades en productos SOOIL
- Dana Diabecare RS, todas las versiones anteriores a la 3.0;
- AnyDana-i, todas las versiones anteriores a la 3.0;
- AnyDana-A, todas las versiones anteriores a la 3.0.
Los investigadores Julian Suleder, Birk Kauer, Raphael Pavlidis y Nils Emmerich, de ERNW Research GmbH, han reportado a la Oficina Federal para la Seguridad de la Información (BSI) una vulnerabilidad de severidad alta de tipo claves deterministas y 8 vulnerabilidades de severidad media.
- Actualizar:
- Dana Diabecare RS a la versión 3.0, posterior o última disponible.
- AnyDana-i y AnyDana-A a la versión 3.0 o posterior.
- Adicionalmente, el fabricante recomienda que, en caso de no poder actualizar Dana RS, operar esta siempre en Airplane Mode.
Un atacante, próximo físicamente y no autenticado, podría realizar un ataque de fuerza bruta a través de Bluetooth Low Energy, aprovechando las claves deterministas que utiliza el protocolo de comunicación. Se ha asignado el identificador CVE-2020-27264 para esta vulnerabilidad.
Para el resto de vulnerabilidades se han asignado los identificadores CVE-2020-27256, CVE-2020-27258, CVE-2020-27266, CVE-2020-27268, CVE-2020-27269, CVE-2020-27270, CVE-2020-27272 y CVE-2020-27276.
