Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en protocolo de telemetría Conexus de Medtronic

Fecha de publicación: 22/03/2019

Importancia: Crítica

Recursos afectados:

  • MyCareLink Monitor, versiones 24950 y 24952
  • CareLink Monitor, versión 2490C
  • CareLink 2090 Programmer
  • Amplia CRT-D, Claria CRT-D, Compia CRT-D, Concerto CRT-D, Concerto II CRT-D, Consulta CRT-D, Evera ICD, Maximo II CRT-D e ICD, Mirro ICD, Nayamed ND ICD, Primo ICD, Protecta ICD y CRT-D, Secura ICD, Virtuoso ICD, Virtuoso II ICD, Visia AF ICD y Viva CRT-D, todos los modelos.

Descripción:

Peter Morgan de Clever Security, Dave Singelée y Bart Preneel de KU Leuven, Eduard Marin anteriormente de KU Leuven, actualmente con la University of Birmingham, Flavio D. Garcia, Tom Chothia de la University of Birmingham y Rik Willems del University Hospital Gasthuisberg Leuvenha han reportado varias vulnerabilidades que afectan al protocolo de telemetría Conexus de Medtronic. Un atacante con acceso cercano a alguno de los productos afectados podría interferir, generar, modificar o interceptar la comunicación de radiofrecuencia (RF) del sistema de telemetría Conexus, afectando a la funcionalidad del producto y permitiendo el acceso a datos confidenciales transmitidos.

Solución:

Medtronic ha aplicado controles adicionales de monitorización y respuesta a usos inadecuados del protocolo por los dispositivos afectados. Además, está trabajando en nuevas mitigaciones que serán desplegadas con futuras actualizaciones. Medtronic también recomienda aplicar las siguientes medidas:

  • Mantener control físico sobre los programadores y monitores.
  • Utilizar sólo programadores, monitores y dispositivos implantables obtenidos directamente de su proveedor de productos de salud o de Medtronic.
  • No conectar dispositivos inapropiados a los programadores y monitores mediante los puertos USB disponibles.
  • Usar los programadores solo en ambientes físicamente controlados, como hospitales y clínicas autorizadas.
  • Informar de cualquier comportamiento anómalo.

Detalle:

  • El protocolo de telemetría Conexus no implementa autenticación y autorización. Un atacante con acceso de corto alcance a un producto afectado podría inyectar, reproducir, modificar e interceptar datos dentro de la comunicación de telemetría, así como cambiar la memoria en el dispositivo cardíaco implantado. Se ha reservado el identificador CVE-2019-6538 para esta vulnerabilidad.
  • El protocolo de telemetría Conexus no implementa cifrado. Un atacante con acceso de corto alcance a un producto afectado podría escuchar las comunicaciones, incluida la transmisión de datos confidenciales. Se ha reservado el identificador CVE-2019-6540 para esta vulnerabilidad.

Etiquetas: 0day, Comunicaciones, Vulnerabilidad