Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 22/03/2019

Importancia: Crítica

Recursos afectados:

• MyCareLink Monitor, versiones 24950 y 24952
• CareLink Monitor, versión 2490C
• CareLink 2090 Programmer
• Amplia CRT-D, Claria CRT-D, Compia CRT-D, Concerto CRT-D, Concerto II CRT-D, Consulta CRT-D, Evera ICD, Maximo II CRT-D e ICD, Mirro ICD, Nayamed ND ICD, Primo ICD, Protecta ICD y CRT-D, Secura ICD, Virtuoso ICD, Virtuoso II ICD, Visia AF ICD y Viva CRT-D, todos los modelos.

Descripción:

Peter Morgan de Clever Security, Dave Singelée y Bart Preneel de KU Leuven, Eduard Marin anteriormente de KU Leuven, actualmente con la University of Birmingham, Flavio D. Garcia, Tom Chothia de la University of Birmingham y Rik Willems del University Hospital Gasthuisberg Leuvenha han reportado varias vulnerabilidades que afectan al protocolo de telemetría Conexus de Medtronic. Un atacante con acceso cercano a alguno de los productos afectados podría interferir, generar, modificar o interceptar la comunicación de radiofrecuencia (RF) del sistema de telemetría Conexus, afectando a la funcionalidad del producto y permitiendo el acceso a datos confidenciales transmitidos.

Solución:

Medtronic ha aplicado controles adicionales de monitorización y respuesta a usos inadecuados del protocolo por los dispositivos afectados. Además, está trabajando en nuevas mitigaciones que serán desplegadas con futuras actualizaciones. Medtronic también recomienda aplicar las siguientes medidas:

• Mantener control físico sobre los programadores y monitores.
• Utilizar sólo programadores, monitores y dispositivos implantables obtenidos directamente de su proveedor de productos de salud o de Medtronic.
• No conectar dispositivos inapropiados a los programadores y monitores mediante los puertos USB disponibles.
• Usar los programadores solo en ambientes físicamente controlados, como hospitales y clínicas autorizadas.
• Informar de cualquier comportamiento anómalo.

Detalle:

• El protocolo de telemetría Conexus no implementa autenticación y autorización. Un atacante con acceso de corto alcance a un producto afectado podría inyectar, reproducir, modificar e interceptar datos dentro de la comunicación de telemetría, así como cambiar la memoria en el dispositivo cardíaco implantado. Se ha reservado el identificador CVE-2019-6538 para esta vulnerabilidad.
• El protocolo de telemetría Conexus no implementa cifrado. Un atacante con acceso de corto alcance a un producto afectado podría escuchar las comunicaciones, incluida la transmisión de datos confidenciales. Se ha reservado el identificador CVE-2019-6540 para esta vulnerabilidad.

Etiquetas: 0day, Comunicaciones, Vulnerabilidad