- A+
未受修补的漏洞存在于受欢迎的Medtronics医疗设备制造商生产的20种产品中,包括除颤器和家庭病人监护系统。
美国国土安全部发布了一个紧急警报警告,指出攻击者可以篡改包括除颤器在内的多种美敦力医疗设备。
这两个漏洞 - 包括中度和严重严重性缺陷 - 存在于由流行的医疗设备制造商生产的20种产品中,包括一系列除颤器和家庭病人监护系统。 Medtronic告诉Threatpost,目前尚无法解决这些缺陷的更新。
这些缺陷可能让本地攻击者控制设备的功能 - 以及像植入式心律转复除颤器这样的产品,它插入皮肤下并将患者的不规则心跳冲击成正常的节律,这可能会产生危险的影响。
“成功利用这些漏洞的结果可能包括能够在受影响的植入设备上读取和写入任何有效的内存位置,从而影响设备的预期功能,”根据美国国土安全部的警报 。
据“星际论坛报” 报道 ,受影响的产品包括家庭护理病人监护仪,用于编程心脏装置的便携式计算机系统,以及几种特定的美敦力植入式心脏装置 - 可能高达750,000台设备。
美敦力发言人强调,虽然除颤器受到影响,但该问题不会影响美敦力心脏起搏器或可插入心脏监护仪。
“美敦力正在进行安全检查,以寻找可能与这些问题相关的未经授权或不寻常的活动,”该发言人告诉Threatpost。 “到目前为止,没有观察到网络攻击,隐私泄露或患者伤害或与这些问题相关。 美敦力正在开发一系列软件更新,以更好地保护受这些问题影响的无线通信。 第一次更新计划于2019年晚些时候进行,但须经监管部门批准。“
缺陷
这些漏洞源于Conexus遥测协议,该协议不实现通信的身份验证,授权或加密 - 允许攻击者轻松执行多种攻击,例如查看或更改敏感数据。 Conexus遥测协议用作Medtronic远程患者管理系统的一部分。
这些漏洞特别是一个关键的不正当访问控制漏洞( CVE-2019-6538 ),其CVSS评分为9.3,因为它只需要较低的技术水平来利用; 敏感信息漏洞的明确传输( CVE-2019-6540 ),其CVSS评分为6.5。
“成功利用这些漏洞可能使相邻短程访问其中一个受影响产品的攻击者干扰,生成,修改或拦截美敦力专有的Conexus遥测系统的射频(RF)通信,从而可能影响产品功能和/或允许访问传输的敏感数据,“根据国土安全部的咨询。
不正确的访问控制源于受影响产品中使用的Conexus遥测协议未实现身份验证或授权的事实。
“该通信协议提供了向受影响的植入式心脏装置读取和写入存储器值的能力; 因此,攻击者可以利用这种通信协议来改变植入心脏设备中的记忆,“DHS警告说。
为了利用这些漏洞,攻击者需要能够发送或接收Conexus遥测通信的射频设备(例如监视器,程序员或软件定义的无线电),并且需要对易受攻击的产品进行短程访问。
更新即将到来
美敦力已经应用了额外的控制措施来监测和响应受影响的植入式心脏装置对Conexus遥测协议的不当使用 - 但直到2019年晚些时候才会进行更新。
与此同时,“Medtronic和FDA建议患者和医生继续使用规定和预期的设备和技术,因为这提供了管理患者设备和心脏病的最有效方式,”Medtronic在一份声明中说。
这只是医疗制造商美敦力公司发现的最新安全问题。 2018年 ,Medtronic的CareLink 2090和CareLink Encore 29901程序员发现了一个缺陷,允许通过Medtronic的专用软件部署网络进行远程代码植入。
在2018年的Black Hat研究人员强调,医疗设备领域仍然不安全,需要解决。
“[这些攻击]改变了医生对病人的行为,因为他们隐含地信任技术,”加州大学戴维斯分校黑人帽子的儿科医生兼麻醉师杰夫塔利说。
(图片根据知识共享 署名3.0 Unported许可证授权。)
