Fecha de publicación: 22/03/2019
Importancia:
Crítica
Recursos afectados:
- MyCareLink Monitor, versiones 24950 y 24952
- CareLink Monitor, versión 2490C
- CareLink 2090 Programmer
- Amplia CRT-D, Claria CRT-D, Compia CRT-D, Concerto CRT-D, Concerto II CRT-D, Consulta CRT-D, Evera ICD, Maximo II CRT-D e ICD, Mirro ICD, Nayamed ND ICD, Primo ICD, Protecta ICD y CRT-D, Secura ICD, Virtuoso ICD, Virtuoso II ICD, Visia AF ICD y Viva CRT-D, todos los modelos.
Descripción:
Peter Morgan de Clever Security, Dave Singelée y Bart Preneel de KU Leuven, Eduard Marin anteriormente de KU Leuven, actualmente con la University of Birmingham, Flavio D. Garcia, Tom Chothia de la University of Birmingham y Rik Willems del University Hospital Gasthuisberg Leuvenha han reportado varias vulnerabilidades que afectan al protocolo de telemetría Conexus de Medtronic. Un atacante con acceso cercano a alguno de los productos afectados podría interferir, generar, modificar o interceptar la comunicación de radiofrecuencia (RF) del sistema de telemetría Conexus, afectando a la funcionalidad del producto y permitiendo el acceso a datos confidenciales transmitidos.
Solución:
Medtronic ha aplicado controles adicionales de monitorización y respuesta a usos inadecuados del protocolo por los dispositivos afectados. Además, está trabajando en nuevas mitigaciones que serán desplegadas con futuras actualizaciones. Medtronic también recomienda aplicar las siguientes medidas:
- Mantener control físico sobre los programadores y monitores.
- Utilizar sólo programadores, monitores y dispositivos implantables obtenidos directamente de su proveedor de productos de salud o de Medtronic.
- No conectar dispositivos inapropiados a los programadores y monitores mediante los puertos USB disponibles.
- Usar los programadores solo en ambientes físicamente controlados, como hospitales y clínicas autorizadas.
- Informar de cualquier comportamiento anómalo.
Detalle:
- El protocolo de telemetría Conexus no implementa autenticación y autorización. Un atacante con acceso de corto alcance a un producto afectado podría inyectar, reproducir, modificar e interceptar datos dentro de la comunicación de telemetría, así como cambiar la memoria en el dispositivo cardíaco implantado. Se ha reservado el identificador CVE-2019-6538 para esta vulnerabilidad.
- El protocolo de telemetría Conexus no implementa cifrado. Un atacante con acceso de corto alcance a un producto afectado podría escuchar las comunicaciones, incluida la transmisión de datos confidenciales. Se ha reservado el identificador CVE-2019-6540 para esta vulnerabilidad.
Etiquetas:
0day, Comunicaciones, Vulnerabilidad