Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Control de acceso incorrecto en las bombas de insulina MiniMed de Medtronic

Fecha de publicación: 28/06/2019

Importancia: Alta

Recursos afectados:

  • MiniMed 508 en todas las versiones;
  • MiniMed Paradigm 511 en todas las versiones;
  • MiniMed Paradigm 512/712 en todas las versiones;
  • MiniMed Paradigm 712E en todas las versiones;
  • MiniMed Paradigm 515/715 en todas las versiones;
  • MiniMed Paradigm 522/722 en todas las versiones;
  • MiniMed Paradigm 522K/722K en todas las versiones;
  • MiniMed Paradigm 523/723 en la versión 2.4A o anteriores;
  • MiniMed Paradigm 523K/723K en la versión 2.4A o anteriores;
  • MiniMed Paradigm Veo 554/754 en la versión 2.6A o anteriores;
  • MiniMed Paradigm Veo 554CM y 754CM en la versión 2.7A o anteriores.

Descripción:

Los investigadores independientes Nathanael Paul, Jay Radcliffe, Barnaby Jack, Billy Rios, Jonathan Butts y Jesse Young han detectado esta vulnerabilidad de criticidad alta. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante modificar o interferir en las configuraciones de la bomba de insulina o controlar la administración de esta.

Solución:

Medtronic todavía no ha mitigado esta vulnerabilidad, pero aconseja a los pacientes afectados actualizar su bomba de insulina por un modelo más nuevo.

Detalle:

Las bombas de insulina afectadas se comunican con otros dispositivos, por ejemplo glucómetros, utilizando una comunicación inalámbrica RF la cual no implementa correctamente la autenticación o autorización. Un atacante, dentro del radio de acceso, podría acceder a los modelos de bombas afectados y cambiar las dosis establecidas además de interceptar los datos. Se ha reservado el identificador CVE-2019-10964 para esta vulnerabilidad.

Etiquetas: Vulnerabilidad