Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Medtronic-en Conexus telemetria protokoloan

Argitalpen data: 2019/03/22

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • MyCareLink Monitor, 24950 eta 24952 bertsioak
  • CareLink Monitor, 2490C bertsioa
  • CareLink 2090 Programmer
  • Amplia CRT-D, Claria CRT-D, Compia CRT-D, Concerto CRT-D, Concerto II CRT-D, Consulta CRT-D, Evera ICD, Maximo II CRT-D eta ICD, Mirro ICD, Nayamed ND ICD, Primo ICD, Protecta ICD eta CRT-D, Secura ICD, Virtuoso ICD, Virtuoso II ICD, Visia AF ICD eta Viva CRT-D, modelo guztiak.

Azalpena:

Clever Security-ko Peter Morgan-ek, KU Leuven-eko Dave Singelée eta Bart Preneel-ek, lehen KU Leuven-ekoa zen eta une honetan University of Birmingham-ekoa den Eduard Marin-ek, University of Birmingham-eko Flavio D. Garcia-k etaTom Chothia-k eta University Hospital Gasthuisberg Leuvenha-ko Rik Willems-ek hainbat ahultasunen berri eman dute, Medtronic-en Conexus telemetria protokoloari eragiten diotenak. Kaltetutako produkturen batera gertuko sarbidea lukeen erasotzaile batek Conexus telemetria sistemaren irrati-maiztasuneko (IM) komunikazioa interferitu, sortu, aldatu edo atzeman lezake. Horrela produktuaren funtzionalitateei eragingo lieke eta transmititutako datu konfidentzialetara sarbidea lor liteke.

Konponbidea:

Medtronic-ek monitorizazio eta erantzun kontrol osagarriak ezarri dizkie kaltetutako gailuek egiten dituzten protokoloaren erabilera desegokiei. Horrez gain, arintze berriak prestatzen ari da, etorkizuneko eguneraketetan jasoko direnak. Medtronic-ek ondoko neurriak hartzea ere gomendatzen du:

  • Programatzaileen eta monitoreen gaineko kontrol fisikoa izatea.
  • Medtronic-etik edo osasun produktuen zure hornitzailearengandik zuzenean eskuratutako programatzaile, monitore eta gailu ezargarriak soilik erabiltzea.
  • Programatzaile eta monitoreetara gailu desegokiak ez konektatzea eskuragarri dauden USB ataken bidez.
  • Programatzaileak ingurune fisikoki kontrolatuetan soilik erabiltzea, adibidez ospitale eta klinika baimenduetan.
  • Ohiz kanpoko edozein portaerari buruz informatzea.

Xehetasuna:

  • Conexus telemetria protokoloak ez du inplementatzen autentifikazioa eta baimena. Kaltetutako produktu batera irispide laburreko sarbidea lukeen erasotzaile batek datuak injektatu, erreproduzitu, aldatu eta atzeman litzake telemetriaren komunikazioaren barnean, bai eta ezarritako gailu kardiakoan memoria aldatu ere. Ahultasun horretarako CVE-2019-6538 identifikatzailea erreserbatu da.
  • Conexus telemetria protokoloak ez du inplementatzen zifratua. Kaltetutako produktu batera irispide laburreko sarbidea lukeen erasotzaile batek komunikazioak entzun litzake, datu konfidentzialen transmisioa barne. Ahultasun horretarako CVE-2019-6540 identifikatzailea erreserbatu da.

Etiketak: 0day, Komunikazioak, Ahultasuna