Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Medtronic-en MyCareLink Patient Monitor-en

Argitalpen data: 2018/06/29

Garrantzia: Ertaina

Kaltetutako baliabideak:

  • 24950 MyCareLink Monitor, bertsio guztiak
  • 24952 MyCareLink Monitor, bertsio guztiak

Azalpena:

Clever Securityko Peter Morganek Medtronicen MyCareLink Patient Monitor-en produktu batzuei eragiten dieten hainbat ahultasunen berri eman du. Sarbide fisikoa lukeen balizko erasotzaile batek monitorearen sistema eragilera sartzeko baimena lor lezake, eta memoriako balio arbitrarioak irakurri eta idatz litzake.

Konponbidea:

Medtronicek produktu eguneraketa batzuk argitaratuko ditu, ohartarazpen honetan azaltzen diren ahultasunak murriztearren. Eguneraketa hauek automatikoki aplikatuko dira gailuetan, eguneraketen prozesu estandar errepikarien parte modura. Horrez gain, kaltetutako gailuen eta horiekin lotutako azpiegituraren segurtasunaren monitorizazioa areagotu egin du Medtronicek.

Medtronicek erabiltzaileei aholkatzen die babes neurri osagarriak hartzea, ahultasun hauek baliatzeko arriskua murriztearren. Zehazki, erabiltzaileek honakoa egin behar lukete:

  • Etxeko monitorearen gaineko kontrol fisiko egokiak mantentzea, hori baita ahultasunak murrizteko erarik onena.
  • Soilik osasun arretako hornitzailearen edo Medtroniceko ordezkari baten aldetik eskuratutako etxeko monitoreak erabiltzea, sistemaren integritatea bermatzearren.
  • Osasun arretako hornitzaileari edo Medtroniceko ordezkariari jakinaraztea etxeko monitorearekin zerikusia duen edozein jokabide.

Medtronicek argitaratutako informazio gehiago ondoko loturan aurki daiteke: https://www.medtronic.com/security

Xehetasuna:

  • Kaltetutako produktuek sistema eragilearen pasahitzak dauzkate barnean. Sarbide fisikoa lukeen balizko erasotzaile batek gailuaren karkasa ireki lezake, debug atakara konektatu eta pasahitza erabili sistema eragilera sarbide baimendua lortzeko. Ahultasun horretarako CVE-2018-8870 identifikatzailea erabili da.
  • Kaltetutako produktuek arazketa kodea daukate, monitorearen komunikazio interfazeen funtzionaltasunak probatu ahal izateko, monitorearen eta ezar daitekeen bihotzeko gailuaren arteko interfazearenak barne. Balizko erasotzaile batek ahultasun hau balia lezake bihotzeko gailu ezargarrietan memoria balio arbitrarioak irakurri eta idazteko, haririk gabeko indukzio protokoloen edo irispide laburrekoen bidez. Ahultasun horretarako CVE-2018-8868 identifikatzailea erabili da.

Etiketak: Eguneraketa, Ahultasuna