Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Medtronic-en Conexus telemetria protokoloan

Argitalpen data: 2019/03/22

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • MyCareLink Monitor, 24950 eta 24952 bertsioak
  • CareLink Monitor, 2490C bertsioa
  • CareLink 2090 Programmer
  • Amplia CRT-D, Claria CRT-D, Compia CRT-D, Concerto CRT-D, Concerto II CRT-D, Consulta CRT-D, Evera ICD, Maximo II CRT-D eta ICD, Mirro ICD, Nayamed ND ICD, Primo ICD, Protecta ICD eta CRT-D, Secura ICD, Virtuoso ICD, Virtuoso II ICD, Visia AF ICD eta Viva CRT-D, modelo guztiak.

Azalpena:

Clever Security-ko Peter Morgan-ek, KU Leuven-eko Dave Singelée eta Bart Preneel-ek, lehen KU Leuven-ekoa zen eta une honetan University of Birmingham-ekoa den Eduard Marin-ek, University of Birmingham-eko Flavio D. Garcia-k etaTom Chothia-k eta University Hospital Gasthuisberg Leuvenha-ko Rik Willems-ek hainbat ahultasunen berri eman dute, Medtronic-en Conexus telemetria protokoloari eragiten diotenak. Kaltetutako produkturen batera gertuko sarbidea lukeen erasotzaile batek Conexus telemetria sistemaren irrati-maiztasuneko (IM) komunikazioa interferitu, sortu, aldatu edo atzeman lezake. Horrela produktuaren funtzionalitateei eragingo lieke eta transmititutako datu konfidentzialetara sarbidea lor liteke.

Konponbidea:

Medtronic-ek monitorizazio eta erantzun kontrol osagarriak ezarri dizkie kaltetutako gailuek egiten dituzten protokoloaren erabilera desegokiei. Horrez gain, arintze berriak prestatzen ari da, etorkizuneko eguneraketetan jasoko direnak. Medtronic-ek ondoko neurriak hartzea ere gomendatzen du:

  • Programatzaileen eta monitoreen gaineko kontrol fisikoa izatea.
  • Medtronic-etik edo osasun produktuen zure hornitzailearengandik zuzenean eskuratutako programatzaile, monitore eta gailu ezargarriak soilik erabiltzea.
  • Programatzaile eta monitoreetara gailu desegokiak ez konektatzea eskuragarri dauden USB ataken bidez.
  • Programatzaileak ingurune fisikoki kontrolatuetan soilik erabiltzea, adibidez ospitale eta klinika baimenduetan.
  • Ohiz kanpoko edozein portaerari buruz informatzea.

Xehetasuna:

  • Conexus telemetria protokoloak ez du inplementatzen autentifikazioa eta baimena. Kaltetutako produktu batera irispide laburreko sarbidea lukeen erasotzaile batek datuak injektatu, erreproduzitu, aldatu eta atzeman litzake telemetriaren komunikazioaren barnean, bai eta ezarritako gailu kardiakoan memoria aldatu ere. Ahultasun horretarako CVE-2019-6538 identifikatzailea erreserbatu da.
  • Conexus telemetria protokoloak ez du inplementatzen zifratua. Kaltetutako produktu batera irispide laburreko sarbidea lukeen erasotzaile batek komunikazioak entzun litzake, datu konfidentzialen transmisioa barne. Ahultasun horretarako CVE-2019-6540 identifikatzailea erreserbatu da.

Etiketak: 0day, Komunikazioak, Ahultasuna