En række hjerte defibrillatorer er sårbare over for alvorlige, livstruende angreb. fejlene, beliggende i Medtronics Conexus radiofrekvens trådløs telemetri protokol, kan gøre det muligt for angribere at kapre enhederne eksternt, dermed sætte livet for utallige patienter i fare.
Mere specifikt, Clever Sikkerhed forskere opdagede, at Conexus Radio Frequency telemetri-protokollen giver ingen kryptering til at sikre kommunikation.
Manglen på kryptering gør det muligt for angribere indenfor radio rækkevidde at aflytte om meddelelser. Men, dette er ikke det eneste problem - protokollen mangler godkendelse til lovlige enheder. De to udstedelser kombineret med nogle andre fejl tillader hackere at omskrive defibrillatoren firmware. Dette er ganske sjældent, at sårbarheder i medicinsk udstyr, siger forskerne.
Medtronic Sårbarheder: forklaret
Sårbarhederne fare enheder, der bruger Medtronics Conexus radiofrekvens trådløs telemetri protokol. Blandt de berørte enheder er virksomhedens implantable cardioverter defibrillatorer og hjerte-resynkroniseringsterapi defibrillatorer. Men, Medtronics pacemakere påvirkes ikke.
Den gode nyhed er, at sårbarhederne ikke er blevet udnyttet hidtil, eller i det mindste er der ingen tegn. Ikke desto mindre, en hacker i tæt nærhed til en patient kan stadig forstyrre kommunikationen når radiofrekvens er aktiv, dermed få adgang til data, der sendes af enheden.
Endvidere, ifølge en alert af Department of Homeland Security, sårbarhederne er nemme at udnytte og kræver ikke specifik viden. Dette gør de spørgsmål kritisk. Medtronic, på den anden side, sagde at mens en person kan være i stand til at få adgang Conexus de skulle detaljeret viden om medicinsk udstyr, trådløs telemetri og elektrofysiologi at bringe en patients liv.
Sårbarhederne er følgende:
- En kritisk forkert adgangskontrol sårbarhed kendt som CVE-2019-6538, med en CVSS score på 9.3 da den kun kræver et lavt niveau for at udnytte;
- En klartekst transmission af følsomme oplysninger sårbarhed, eller CVE-2019-6540, med en CVSS score på 6.5.
Her er listen over berørte enheder:
MyCareLink Monitor, versioner 24950 og 24952
CareLink Monitor, Version 2490C
CareLink 2090 programmør
Amplia CRT-D (alle modeller)
Claria CRT-D (alle modeller)
Udrette CRT-D (alle modeller)
CRT-D koncert (alle modeller)
Concerto II CRT-D (alle modeller)
Vis CRT-D (alle modeller)
ever 'ICD (alle modeller)
Maximo II CRT-D og ICD (alle modeller)
mirro ICD (alle modeller)
Nayamed ND ICD (alle modeller)
første ICD (alle modeller)
Protecta ICD og CRT-D (alle modeller)
Secura ICD (alle modeller)
Virtuos ICD (alle modeller)
Virtuos II ICD (alle modeller)
Visia AF ICD (alle modeller)
Viva CRT-D (alle modeller).