Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Ausencia de cifrado de datos sensibles en N'Vision Clinician Programmer de Medtronic

Fecha de publicación: 18/05/2018

Importancia: Baja

Recursos afectados:

  • 8840 N'Vision Clinician Programmer todas las versiones.
  • 8870 N'Vision removable Application Card todas las versiones.

Descripción:

Billy Rios de Whitescope LLC ha reportado esta vulnerabilidad al NCCIC que podría permitir el acceso a datos sensibles.

Solución:

Medtronic no ha desarrollado ninguna actualización que solucione esta vulnerabilidad, pero recomienda a los usuarios tomar medidas de seguridad adicionales para minimizar el riesgo de explotar esta vulnerabilidad. Las clínicas y hospitales deberían:

  • Mantener un estricto control físico de las tarjetas de aplicación 8870.
  • Utilizar únicamente las tarjetas 8870 obtenidas legítimamente y no las proporcionadas por terceros, ya que Medtronic proporciona actualizaciones de firmware y de sistema utilizando las nuevas tarjetas 8870.
  • Los programadores 8840 y las tarjetas 8870 son propiedad de Medtronic y deben devolverse a Medtronic cuando ya no estén en uso. Si esto no es posible, deben desecharse de forma segura.

Detalle:

Los datos almacenados en el producto afectado no están cifrados. Un atacante con acceso físico podría acceder a la siguiente información:

  • PII - Información personal de identificación. Una combinación de datos personales que permite la identificación única de un individuo.
  • PHI - Información personal de salud. Una combinación de PII y datos relacionados con la salud asociados.

Para esta vulnerabilidad se ha reservado el identificador CVE-2018-8849.

Etiquetas: Actualización, Vulnerabilidad