Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Datu sentikorren zifratzerik eza Medtronic-en N'Vision Clinician Programmer-en

Argitalpen data: 2018/05/18

Garrantzia: Txikia

Kaltetutako baliabideak:

  • 8840 N'Vision Clinician Programmer, bertsio guztiak.
  • 8870 N'Vision removable Application Card, bertsio guztiak.

Azalpena:

Whitescope LLCren Billy Rios-ek ahultasun honen berri eman dio NCCICri. Ahultasunak datu sentikorrak eskuratzea ahalbidetu lezake.

Konponbidea:

Medtronicek ez du garatu ahultasun hau konpontzeko inolako eguneraketarik, baina erabiltzaileei aholkatzen die segurtasun neurri osagarriak hartzea ahultasun hau baliatzeko arriskua gutxitzearren. Klinikek eta ospitaleek ondokoa egin beharko lukete:

  • 8870 aplikazio txartelak fisikoki zorrotz kontrolatzea.
  • Soilik erabiltzea legitimoki eskuratutako 8870 txartelak eta ez hirugarren batzuek emandakoak. Izan ere, Medtronicek firmwarearen eta sistemaren eguneraketak eskaintzen ditu 8870 txartel berriak erabiliz.
  • 8840 programatzaileak eta 8870 txartelak Medtronic-enak dira eta Medtronic-i itzuli behar zaizkio erabiltzeari utzitakoan. Hori ez bada posible, modu seguruan bota behar dira.

Xehetasuna:

Kaltetutako produktuan gordetako datuak ez daude zifratuta. Sarbide fisikoa lukeen erasotzaile batek ondoko informazioa eskura lezake:

  • PII - Identifikaziorako informazio pertsonala. Norbanako baten zalantzarik gabeko identifikazioa ahalbidetzen duen datu pertsonalen konbinazioa.
  • PHI - Osasun arloko informazio pertsonala. PIIren eta osasun arloarekin zerikusia duten datu osagarrien konbinazio bat.

Ahultasun horretarako CVE-2018-8849 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Ahultasuna