Medtronic egészségügyi eszközöket érintő sérülékenységek

CH azonosító: CH-14553
Cím: Medtronic egészségügyi eszközöket érintő sérülékenység
Angol cím: Medtronic healthcare devices vulnerabilities

Publikálás dátuma: 2019.03.22.
Utolsó módosítás dátuma: 2019.03.22.


Leírás

Az amerikai ICS-CERT (Ipari Irányítórendszerek Kiberbiztonsági Eseménykezelő Csoportja) az alábbi a Medtronic által gyártott orvostechnikai eszközöket (például beültethető defibrillátorokat) érintő, kritikus kockázati besorolású sérülékenységekről adott ki tájékoztatást.


Leírás forrása: Egyéb referencia: ics-cert.us-cert.gov
Leírás utolsó módosítása: 2019.03.22.


Elemzés leírás

A sérülékenységek a berendezésekkel történő kommunikáció során alkalmazott Conexus Radio Frequency Telemetry Protocolt érintik, és abból fakadnak, hogy az sem autentikációt, sem titkosítást nem használ.

A biztonsági hibák sikeres kihasználásával a támadók képesek lehetnek hozzáférni és módosítani az érintett eszközök és a Conexus telemetriai rendszer közötti RF (rádiofrekvenciás) kommunikációt, így egyrészt potenciálisan befolyásolhatják a támadott berendezés működését, valamint érzékeny egészségügyi adatokat szerezhetnek a páciensről.

A kihasználás feltétele, hogy a célkeresztben lévő eszközön engedélyezett legyen az RF kommunikáció, a támadó pedig fizikailag a berendezés közelében helyezkedjen el, illetve rendelkezzen a rádiójel vételére és továbbítására alkalmas eszközzel.

Érintett eszközök:
 
  • MyCareLink Monitor, Versions 24950 and 24952,
  • CareLink Monitor, Version 2490C,
  • CareLink 2090 Programmer,
  • Amplia CRT-D (összes modell),
  • Claria CRT-D (összes modell),
  • Compia CRT-D (összes modell),
  • Concerto CRT-D (összes modell),
  • Concerto II CRT-D (összes modell),
  • Consulta CRT-D (összes modell),
  • Evera ICD (összes modell),
  • Maximo II CRT-D and ICD (összes modell),
  • Mirro ICD (összes modell),
  • Nayamed ND ICD (összes modell),
  • Primo ICD (összes modell),
  • Protecta ICD and CRT-D (összes modell),
  • Secura ICD (összes modell),
  • Virtuoso ICD (összes modell),
  • Virtuoso II ICD (összes modell),
  • Visia AF ICD (összes modell),
  • Viva CRT-D (összes modell).
Megoldás: 

A gyártó már adott ki biztonsági frissítést a kommunikáció kezelésének szigorításához, és további javításokat is tervez. Mindezek mellett javasolja az alábbi biztonsági intézkedések bevezetését:

  • a beültetett orvostechnikai eszközök monitorozásához csak a gyártó által javasolt monitorozó eszközöket használjuk,
  • ügyeljünk az ilyen monitorozó eszközök fizikai biztonságára, csak ellenőrzött, otthoni környezetben használjuk őket,
  • az eszközök kalibrálása csak megfelelő fizikai biztonsággal rendelkező egészségügyi ellátóegységben történjen,
  • ne csatlakoztassunk semmilyen nem engedélyezett eszközt a monitoring berendezéshez,
  • szokatlan működés észlelése esetén vegyük fel a kapcsolatot a gyártóval.

Elemzés leírás forrása: Egyéb referencia: ics-cert.us-cert.gov
Elemzés leírás utolsó módosítása: 2019.03.22.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 9.3
Vektor: -
Hatás pontszáma: -
Kihasználhatóság pontszáma: -


CVSS2 Severity and Metrics

Alap pontszám: 9.3
Vektor: -
Hatás alpontszáma: -
Kihasználhatóság alpontszáma: -