Medtronic egészségügyi eszközöket érintő sérülékenységek

Medtronic egészségügyi eszközöket érintő sérülékenység
Angol cím: Medtronic healthcare devices vulnerabilities

CH azonosító: CH-14553
Publikálás dátuma: 2019.03.22.
Utolsó módosítás dátuma: 2019.03.22.


Leírás

Az amerikai ICS-CERT (Ipari Irányítórendszerek Kiberbiztonsági Eseménykezelő Csoportja) az alábbi a Medtronic által gyártott orvostechnikai eszközöket (például beültethető defibrillátorokat) érintő, kritikus kockázati besorolású sérülékenységekről adott ki tájékoztatást.

Leírás forrása: Egyéb referencia: ics-cert.us-cert.gov Leírás utolsó módosítása: 2019.03.22.


Elemzés leírás

A sérülékenységek a berendezésekkel történő kommunikáció során alkalmazott Conexus Radio Frequency Telemetry Protocolt érintik, és abból fakadnak, hogy az sem autentikációt, sem titkosítást nem használ.

A biztonsági hibák sikeres kihasználásával a támadók képesek lehetnek hozzáférni és módosítani az érintett eszközök és a Conexus telemetriai rendszer közötti RF (rádiofrekvenciás) kommunikációt, így egyrészt potenciálisan befolyásolhatják a támadott berendezés működését, valamint érzékeny egészségügyi adatokat szerezhetnek a páciensről.

A kihasználás feltétele, hogy a célkeresztben lévő eszközön engedélyezett legyen az RF kommunikáció, a támadó pedig fizikailag a berendezés közelében helyezkedjen el, illetve rendelkezzen a rádiójel vételére és továbbítására alkalmas eszközzel.

Érintett eszközök:

 

  • MyCareLink Monitor, Versions 24950 and 24952,
  • CareLink Monitor, Version 2490C,
  • CareLink 2090 Programmer,
  • Amplia CRT-D (összes modell),
  • Claria CRT-D (összes modell),
  • Compia CRT-D (összes modell),
  • Concerto CRT-D (összes modell),
  • Concerto II CRT-D (összes modell),
  • Consulta CRT-D (összes modell),
  • Evera ICD (összes modell),
  • Maximo II CRT-D and ICD (összes modell),
  • Mirro ICD (összes modell),
  • Nayamed ND ICD (összes modell),
  • Primo ICD (összes modell),
  • Protecta ICD and CRT-D (összes modell),
  • Secura ICD (összes modell),
  • Virtuoso ICD (összes modell),
  • Virtuoso II ICD (összes modell),
  • Visia AF ICD (összes modell),
  • Viva CRT-D (összes modell).

Megoldás: 

A gyártó már adott ki biztonsági frissítést a kommunikáció kezelésének szigorításához, és további javításokat is tervez. Mindezek mellett javasolja az alábbi biztonsági intézkedések bevezetését:

  • a beültetett orvostechnikai eszközök monitorozásához csak a gyártó által javasolt monitorozó eszközöket használjuk,
  • ügyeljünk az ilyen monitorozó eszközök fizikai biztonságára, csak ellenőrzött, otthoni környezetben használjuk őket,
  • az eszközök kalibrálása csak megfelelő fizikai biztonsággal rendelkező egészségügyi ellátóegységben történjen,
  • ne csatlakoztassunk semmilyen nem engedélyezett eszközt a monitoring berendezéshez,
  • szokatlan működés észlelése esetén vegyük fel a kapcsolatot a gyártóval.
Elemzés leírás forrása: Egyéb referencia: ics-cert.us-cert.gov Elemzés leírás utolsó módosítása: 2019.03.22.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 9.3 (Kritikus)
Vektor: -
Hatás pontszáma: -
Kihasználhatóság pontszáma: -


CVSS2 Súlyosság és Metrika

Alap pontszám: 9.3 (Kritikus)
Vektor: -
Hatás alpontszáma: -
Kihasználhatóság alpontszáma: -



Hivatkozások

https://ics-cert.us-cert.gov/advisories/ICSMA-19-080-01
https://www.fda.gov/MedicalDevices/DigitalHealth/ucm373213.htm
https://arstechnica.com/information-technology/2019/03/critical-flaw-lets-hackers-control-lifesaving-devices-implanted-inside-patients/
CVE-2019-6538 - NVD CVE-2019-6538
CVE-2019-6540 - NVD CVE-2019-6540


Legfrissebb sérülékenységek
CVE-2023-4863 – Google Chrome sérülékenysége
CVE-2023-40186 – FreeRDP sérülékenysége
CVE-2023-20890 – VMware Aria Operations For Networks sérülékenysége
CVE-2023-34039 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-23770 – Motorola MBTS Site Controller sérülékenysége
CVE-2023-38388 – JupiterX Core Premium WordPress Plugin sérülékenysége
CVE-2023-38831 – RARLabs WinRAR sérülékenysége
CVE-2023-38035 – Ivanti Sentry sérülékenysége
CVE-2023-20212 – ClamAV sérülékenysége
CVE-2023-36847 – Juniper Networks Junos OS sérülékenysége
Tovább a sérülékenységekhez »