Medtronic egészségügyi eszközöket érintő sérülékenység
Angol cím: Medtronic healthcare devices vulnerabilities
CH azonosító: CH-14553
Publikálás dátuma: 2019.03.22.
Utolsó módosítás dátuma: 2019.03.22.
Leírás
Az amerikai ICS-CERT (Ipari Irányítórendszerek Kiberbiztonsági Eseménykezelő Csoportja) az alábbi a Medtronic által gyártott orvostechnikai eszközöket (például beültethető defibrillátorokat) érintő, kritikus kockázati besorolású sérülékenységekről adott ki tájékoztatást.
Leírás forrása: Egyéb referencia: ics-cert.us-cert.gov Leírás utolsó módosítása: 2019.03.22.Elemzés leírás
A sérülékenységek a berendezésekkel történő kommunikáció során alkalmazott Conexus Radio Frequency Telemetry Protocolt érintik, és abból fakadnak, hogy az sem autentikációt, sem titkosítást nem használ.
A biztonsági hibák sikeres kihasználásával a támadók képesek lehetnek hozzáférni és módosítani az érintett eszközök és a Conexus telemetriai rendszer közötti RF (rádiofrekvenciás) kommunikációt, így egyrészt potenciálisan befolyásolhatják a támadott berendezés működését, valamint érzékeny egészségügyi adatokat szerezhetnek a páciensről.
A kihasználás feltétele, hogy a célkeresztben lévő eszközön engedélyezett legyen az RF kommunikáció, a támadó pedig fizikailag a berendezés közelében helyezkedjen el, illetve rendelkezzen a rádiójel vételére és továbbítására alkalmas eszközzel.
Érintett eszközök:
- MyCareLink Monitor, Versions 24950 and 24952,
- CareLink Monitor, Version 2490C,
- CareLink 2090 Programmer,
- Amplia CRT-D (összes modell),
- Claria CRT-D (összes modell),
- Compia CRT-D (összes modell),
- Concerto CRT-D (összes modell),
- Concerto II CRT-D (összes modell),
- Consulta CRT-D (összes modell),
- Evera ICD (összes modell),
- Maximo II CRT-D and ICD (összes modell),
- Mirro ICD (összes modell),
- Nayamed ND ICD (összes modell),
- Primo ICD (összes modell),
- Protecta ICD and CRT-D (összes modell),
- Secura ICD (összes modell),
- Virtuoso ICD (összes modell),
- Virtuoso II ICD (összes modell),
- Visia AF ICD (összes modell),
- Viva CRT-D (összes modell).
Megoldás:
A gyártó már adott ki biztonsági frissítést a kommunikáció kezelésének szigorításához, és további javításokat is tervez. Mindezek mellett javasolja az alábbi biztonsági intézkedések bevezetését:
- a beültetett orvostechnikai eszközök monitorozásához csak a gyártó által javasolt monitorozó eszközöket használjuk,
- ügyeljünk az ilyen monitorozó eszközök fizikai biztonságára, csak ellenőrzött, otthoni környezetben használjuk őket,
- az eszközök kalibrálása csak megfelelő fizikai biztonsággal rendelkező egészségügyi ellátóegységben történjen,
- ne csatlakoztassunk semmilyen nem engedélyezett eszközt a monitoring berendezéshez,
- szokatlan működés észlelése esetén vegyük fel a kapcsolatot a gyártóval.
Hatás
CVSS3 Súlyosság és Metrika
Alap pontszám: 9.3 (Kritikus)
Vektor: -
Hatás pontszáma: -
Kihasználhatóság pontszáma: -
CVSS2 Súlyosság és Metrika
Alap pontszám: 9.3 (Kritikus)
Vektor: -
Hatás alpontszáma: -
Kihasználhatóság alpontszáma: -
Hivatkozások
https://ics-cert.us-cert.gov/advisories/ICSMA-19-080-01
https://www.fda.gov/MedicalDevices/DigitalHealth/ucm373213.htm
https://arstechnica.com/information-technology/2019/03/critical-flaw-lets-hackers-control-lifesaving-devices-implanted-inside-patients/
CVE-2019-6538 - NVD CVE-2019-6538
CVE-2019-6540 - NVD CVE-2019-6540
