Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Abbott Laboratories-en ICD eta CRT-D bihotz inplanteetan

Argitalpen data: 2018/04/18

Garrantzia: Handia

Kaltetutako baliabideak:

Abbott Laboratories-en ICD (Implantable Cardioverter Defibrillator) eta CRT-Dren (Cardiac Synchronization Therapy Defibrillator) ondoko modeloak:

  • Fortify
  • Fortify Assura
  • Quadra Assura
  • Quadra Assura MP
  • Unify
  • Unify Assura
  • Unify Quadra
  • Promote Quadra
  • Ellipse
  • Current
  • Promote

Azalpena:

MedSec Holdings Ltd.-k ahultasun hauen berri eman die NCCIC eta Abbott Laboratories-i. Gailutik gertu dagoen erasotzaile batek irrati frekuentziaren barrutian interferitu dezake, autentifikazioa saihestu eta baimenik gabe sarbidea lortu, komandoak aldatzeko, aldagaiak aldatzeko edo gailuaren funtzionamendu egokian eragiteko.

Konponbidea:

Fabrikatzaileak firmwarearen eguneraketa bat argitaratu du, bere produktuetan aurkitutako ahultasun guztiak konpontzen dituena. Eguneraketa hori Merlin PCS Programmer bitartez aplika dezake osasun arretaren hornitzaileak. Abbott-ek eta FDAk gomendatzen dute eguneraketa hori paziente guztiei jartzea programatuta duten hurrengo bisitan, edo egokitzat jotzen denean, pazientearen eta medikuaren nahien arabera. 2018ko apirilaren 25etik aurrera fabrikatutako ICD eta CRT-D guztiek eguneraketak aurrez instalaturik dituzte.

Aurrekoaz gain, Cybersecurity Medical Advisory Board-ek ondoko neurri prebentiboak gomendatzen ditu:

  • Osasun arretako hornitzaileek eta pazienteek aztertu behar dituzte hurrengo bisitan ahultasun hauen arriskuak eta onurak eta dagokien firmwarearen eguneraketak. Kontuan hartu behar dira pazienteen kasu zehatzak, esate baterako: taupada markagailuarekiko mendekotasuna, tentsio garaiko terapiaren maiztasuna, gailuaren adina eta pazientearen nahia. Era berean, pazienteei "Pazientearekiko komunikazioa" eman behar zaie.
  • Erabaki behar da ea firmwarearen eguneraketa egokia den, pazienteak eguneraketarako duen arriskuaren baitan. Egokitzat jotzen bada, fabrikatzaileak emandako jarraibideen arabera instalatu behar da firmwarearen eguneraketa.
  • Firmwarearen eguneraketa egin behar da monitorizazioko eta kanpo desfibrilazioko sistema egokiak dituen instalazio batean.

Xehetasuna:

  • Egiaztatze okerra: Autentifikaziorako erabiltzen den algoritmoa, autentifikazio pasahitza eta denbora balioa erabiltzen dituena, arriskutan jarria edo saihestua izan daiteke. Hori baliatuz, gertuan dagoen erasotzaile batek komandoak bidal litzake ICD edo CRT-D gailuetara irrati frekuentziaren seinaleak aldatuz. Larritasun altuko ahultasun horretarako CVE-2017-12712 kodea erabili da.
  • Bateriaren kontsumoari eragiten dioten eskaerei buruzko murrizpen okerrak: Egin daitezkeen 'RF wake-up' erako eskaeren kopurua ez dute modu egokian kudeatzen ICD edo CRT-D gailuek. Hori baliatuz, gertuan dagoen erasotzaile batek horrelako komando mota pila bat bidal litzake, bateriaren bizitza erabilgarria murriztearren. Larritasun ertaineko ahultasun horretarako CVE-2017-12714 kodea erabili da.
Etiketak: Eguneraketa, Ahultasuna