Medtronic egészségügyi eszközöket érintő sérülékenységek

Medtronic egészségügyi eszközöket érintő sérülékenység
Angol cím: Medtronic healthcare devices vulnerabilities

CH azonosító: CH-14553
Publikálás dátuma: 2019.03.22.
Utolsó módosítás dátuma: 2019.03.22.


Leírás

Az amerikai ICS-CERT (Ipari Irányítórendszerek Kiberbiztonsági Eseménykezelő Csoportja) az alábbi a Medtronic által gyártott orvostechnikai eszközöket (például beültethető defibrillátorokat) érintő, kritikus kockázati besorolású sérülékenységekről adott ki tájékoztatást.

Leírás forrása: Egyéb referencia: ics-cert.us-cert.gov Leírás utolsó módosítása: 2019.03.22.


Elemzés leírás

A sérülékenységek a berendezésekkel történő kommunikáció során alkalmazott Conexus Radio Frequency Telemetry Protocolt érintik, és abból fakadnak, hogy az sem autentikációt, sem titkosítást nem használ.

A biztonsági hibák sikeres kihasználásával a támadók képesek lehetnek hozzáférni és módosítani az érintett eszközök és a Conexus telemetriai rendszer közötti RF (rádiofrekvenciás) kommunikációt, így egyrészt potenciálisan befolyásolhatják a támadott berendezés működését, valamint érzékeny egészségügyi adatokat szerezhetnek a páciensről.

A kihasználás feltétele, hogy a célkeresztben lévő eszközön engedélyezett legyen az RF kommunikáció, a támadó pedig fizikailag a berendezés közelében helyezkedjen el, illetve rendelkezzen a rádiójel vételére és továbbítására alkalmas eszközzel.

Érintett eszközök:

 

  • MyCareLink Monitor, Versions 24950 and 24952,
  • CareLink Monitor, Version 2490C,
  • CareLink 2090 Programmer,
  • Amplia CRT-D (összes modell),
  • Claria CRT-D (összes modell),
  • Compia CRT-D (összes modell),
  • Concerto CRT-D (összes modell),
  • Concerto II CRT-D (összes modell),
  • Consulta CRT-D (összes modell),
  • Evera ICD (összes modell),
  • Maximo II CRT-D and ICD (összes modell),
  • Mirro ICD (összes modell),
  • Nayamed ND ICD (összes modell),
  • Primo ICD (összes modell),
  • Protecta ICD and CRT-D (összes modell),
  • Secura ICD (összes modell),
  • Virtuoso ICD (összes modell),
  • Virtuoso II ICD (összes modell),
  • Visia AF ICD (összes modell),
  • Viva CRT-D (összes modell).

Megoldás: 

A gyártó már adott ki biztonsági frissítést a kommunikáció kezelésének szigorításához, és további javításokat is tervez. Mindezek mellett javasolja az alábbi biztonsági intézkedések bevezetését:

  • a beültetett orvostechnikai eszközök monitorozásához csak a gyártó által javasolt monitorozó eszközöket használjuk,
  • ügyeljünk az ilyen monitorozó eszközök fizikai biztonságára, csak ellenőrzött, otthoni környezetben használjuk őket,
  • az eszközök kalibrálása csak megfelelő fizikai biztonsággal rendelkező egészségügyi ellátóegységben történjen,
  • ne csatlakoztassunk semmilyen nem engedélyezett eszközt a monitoring berendezéshez,
  • szokatlan működés észlelése esetén vegyük fel a kapcsolatot a gyártóval.
Elemzés leírás forrása: Egyéb referencia: ics-cert.us-cert.gov Elemzés leírás utolsó módosítása: 2019.03.22.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 9.3 (Kritikus)
Vektor: -
Hatás pontszáma: -
Kihasználhatóság pontszáma: -


CVSS2 Súlyosság és Metrika

Alap pontszám: 9.3 (Kritikus)
Vektor: -
Hatás alpontszáma: -
Kihasználhatóság alpontszáma: -




Hivatkozások

https://ics-cert.us-cert.gov/advisories/ICSMA-19-080-01
https://www.fda.gov/MedicalDevices/DigitalHealth/ucm373213.htm
https://arstechnica.com/information-technology/2019/03/critical-flaw-lets-hackers-control-lifesaving-devices-implanted-inside-patients/
CVE-2019-6538 - NVD CVE-2019-6538
CVE-2019-6540 - NVD CVE-2019-6540


Legfrissebb sérülékenységek
CVE-2022-44580 – RichPlugins Plugin For Google Reviews for WordPress sérülékenysége
CVE-2023-23421 – Microsoft Windows sérülékenysége
CVE-2023-23422 – Microsoft Windows sérülékenysége
CVE-2023-23420 – Microsoft Windows sérülékenysége
CVE-2023-23423 – Microsoft Windows sérülékenysége
CVE-2022-39214 – Combodo iTop (aka IT Operations Portal) sérülékenysége
CVE-2022-39216 – Combodo iTop (aka IT Operations Portal), Combodo iTop (aka IT Operations Portal) Community Edition sérülékenysége
CVE-2023-27501 – sap / netweaver application server abap, SAP NetWeaver Application Server ABAP sérülékenysége
CVE-2023-26360 – Adobe ColdFusion Improper Access Control sérülékenysége
CVE-2023-23397 – Microsoft Office Outlook sérülékenysége
Tovább a sérülékenységekhez »