Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Medtronic produktuetan

Argitalpen data: 2018/08/08

Garrantzia: Ertaina

Kaltetutako baliabideak:

  • MMT - 508 MiniMed insulin pump
  • MMT - 522 / MMT - 722 Paradigm REAL-TIME
  • MMT - 523 / MMT - 723 Paradigm Revel
  • MMT - 523K / MMT - 723K Paradigm Revel
  • MMT - 551 / MMT - 751 MiniMed 530G
  • 24950 MyCareLink Monitor, bertsio guztiak.
  • 24952 MyCareLink Monitor, bertsio guztiak.

Azalpena:

Whitescope LLCko Billy Riosek, Jesse Youngek eta Jonathan Buttsek ahultasun hauen berri eman diote NCCIC/ICS-CERTi. Horiek baliatuz urruneko erasotzaile batek atzemandako hari gabeko komunikazioak berrinjekta litzake eta paziente bati intsulina (bolus) ematea eragin lezake. Bestalde, erasotzaile batek MyCareLink gailuetara sarbide fisikoa lortuko balu, produktu bakoitzaren kredentzialak eskuratzeko gai izango litzateke. Ondoren, ahultasun hori balia liteke Medtronic CareLinken sarera datu okerrak kargatzeko.

Konponbidea:

  • MMT gailuei eragiten dieten ahultasunei dagokienez, Medtronicek ez du horientzako eguneraketarik garatuko, erabiltzaile batek inoiz ez badu urruneko kontrolik programatu edo erabili ez baitu erasorik jasateko arriskurik. Gainera, erabiltzaileak urruneko aukera desaktibatzen badu edo bere intsulina bonban 'easy bolus' aukera desaktibatzen badu, erasorik jasateko arriskurik ez luke.
  • MyCareLink Monitor gailuei eragiten dieten ahultasunei dagokienez, Medtronicek zerbitzariaren eguneraketak egin ditu ohar honetan egiaztapen askiez modura identifikatutako ahultasunari aurre egiteko. Gainera, zerbitzariaren aldean arintze osagarriak ezartzen ari da datuen integritatea eta egiazkotasuna hobetzeko. Bestalde, Medtronicek erabiltzaileei aholkatzen die babes neurri osagarriak hartzea, ahultasun hauek baliatzeko arriskua murriztearren. Zehazki, erabiltzaileek honakoa egin behar lukete:
    • Etxeko monitorearen kontrol fisiko egokia izatea.
    • Soilik osasun arretako hornitzailearen edo Medtroniceko ordezkari baten aldetik zuzenean eskuratutako etxeko monitoreak erabiltzea, sistemaren integritatea bermatzearren.
  • Azkenik, Medtronicek argitaratutako informazio gehiago ondoko loturan aurki daiteke: https://www.medtronic.com/security

Xehetasuna:

  • MNT modeloetan bonbaren eta hari gabeko osagarrien arteko komunikazioak testu gardenaren bidez transmititzen dira. Gaitasun nahikoa lukeen erasotzaile batek transmisio horiek atzeman litzake eta informazio sentikorra atera, esate baterako gailuaren serie zenbakiak. Ahultasun horretarako CVE-2018-10634 identifikatzailea erabili da.
  • Goian identifikatutako MMT gailuak urruneko kontrolagailu batekin parekatzen direnean eta 'easy bonus' eta 'remote bolus' aukerak aktibatuta dituztenean (ez baitira aukera lehenetsiak), atzemate-errepikatze erako eraso bat jasateko arriskua dute. Erasotzaile batek urruneko kontrolagailuaren eta bonbaren arteko hari gabeko komunikazioak atzeman litzake eta horiek errepikatu, intsulina bolo bat bana dadin eragiteko. Ahultasun horretarako CVE-2018-12781 identifikatzailea erabili da.
  • Kaltetutako MyCareLink produktuen eguneraketen zerbitzuak ez du aski egiaztatzen kargatutako datuen benetakotasuna. Monitorearen produktukako kredentzialak eta gailu kardiako ezargarriaren informazioa eskuratuko lituzkeen erasotzaile batek datu ez baliagarriak karga litzake Medtronic CareLinken sarean. Ahultasun horretarako CVE-2018-10626 identifikatzailea erabili da.
  • Kaltetutako MyCareLink Monitor produktuek produktu bakoitzean erabiltzen dituzten kredentzialak formatu eskuragarri batean gordetzen dituzte. Erasotzaile batek kredentzial horiek erabil litzake sarean autentifikatzeko eta datu lokalak enkriptatzeko geldirik daudenean. Ahultasun horretarako CVE-2018-10622 identifikatzailea erabili da.
Etiketak: Ahultasuna