Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/06/19

Garrantzia: Ertaina

Kaltetutako baliabideak:

• CardioMessenger II-S T-Line T4APP 2.20;
• CardioMessenger II-S GSM T4APP 2.20.

Azalpena:

Hainbat ahultasun baliatuz, erasotzaile batek datu konfidentzialak eskura litzake, inplantearen serie zenbakiarekin inplantatutako bihotz gailuetatik transmititutako osasun datuak eskuratu, Cardio Messenger II produktuaren funtzionaltasunari eragin, edo HMU Unitatearen eta APNren arteko komunikazioetan eragin.

Konponbidea:

BIOTRONIKek jakinarazi du ez duela produktuaren segurtasun eguneraketarik argitaratuko, baina, nolanahi ere, kontrol osagarriak ezarri ditu ustiapen arriskua murrizteko eta pazientearen segurtasun arriskuak prebenitzeko. Ahultasun horiek baliatu ahal izatearen arriskua murrizteko, erabiltzaileei gomendatzen die honako neurri babesleak hartzea:

• Etxea monitorizatzeko unitateen kontrol fisiko egokia mantentzea.
• Konfiantzako osasun arretako hornitzaile batengandik edo BIOTRONIKen ordezkari batengatik zuzenean jasotako etxeko monitorizatze unitateak soilik erabiltzea, sistemaren integritatea bermatzearren.
• Produktu hauekin zerikusia duen edozein portaeraren berri osasun arretako zure hornitzaileari edo BIOTRONIKen ordezkari bati ematea.

Xehetasuna:

• Kaltetutako produktuek ez dute ezartzen modu egokian elkarrenganako autentifikazioa BIOTRONIKen urruneko komunikazioaren azpiegiturarekin. Ahultasun horretarako CVE-2019-18246 identifikatzailea erreserbatu da.
• Kaltetutako produktuek kredentzialak testu lauan transmititzen dituzte komunikazio kanal zifratu batera aldatu aurretik. Erasotzaile batek BIOTRONIKen urruneko komunikazioaren azpiegiturara konektatzeko produktuaren bezero kredentzialak ezagutzera eman litzake. Ahultasun horretarako CVE-2019-18248 identifikatzailea erreserbatu da.
• Kaltetutako produktuek kredentzialak berrerabiltzea ahalbidetzen dute hainbat autentifikazio xedetarako. CardioMessenger-era alboko sarbidea lukeen erasotzaile batek BIOTRONIKen urruneko komunikazioaren azpiegiturara konektatzeko erabilitako kredentzialak ezagutzera eman litzake. Ahultasun horretarako CVE-2019-18252 identifikatzailea erreserbatu da.
• Kaltetutako produktuek ez dute informazio konfidentziala zifratzen pausagunean dauden bitartean. CardioMessenger-era sarbide fisikoa lukeen erasotzaile batek osasun neurketen datuak eta CardioMessenger-a parekatuta dagoen inplantatutako bihotz gailuaren serie zenbakia eskura litzake. Ahultasun horretarako CVE-2019-18254 identifikatzailea erreserbatu da.
• Kaltetutako produktuek gailu bakoitzeko kredentzial indibidualak erabiltzen dituzte, berreskura daitekeen formatu batean gordetzen direnak. CardioMessenger-era sarbide fisikoa lukeen erasotzaile batek kredentzial horiek erabil litzake sare autentifikazioa egiteko eta iraganbidean dauden datu lokalak deszifratzeko.  Ahultasun horretarako CVE-2019-18256 identifikatzailea erreserbatu da.

Etiketak: Azpiegitura kritikoak, Osasuna, Ahultasuna