Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

[Actualización 09/01/2023] Control de acceso incorrecto en las bombas de insulina MiniMed de Medtronic

Fecha de publicación 28/06/2019
Importancia
4 - Alta
Recursos Afectados
  • MiniMed 508 en todas las versiones;
  • MiniMed Paradigm 511 en todas las versiones;
  • MiniMed Paradigm 512/712 en todas las versiones;
  • MiniMed Paradigm 712E en todas las versiones;
  • MiniMed Paradigm 515/715 en todas las versiones;
  • MiniMed Paradigm 522/722 en todas las versiones;
  • MiniMed Paradigm 522K/722K en todas las versiones;
  • MiniMed Paradigm 523/723 en la versión 2.4A o anteriores;
  • MiniMed Paradigm 523K/723K en la versión 2.4A o anteriores;
  • MiniMed Paradigm Veo 554/754 en la versión 2.6A o anteriores;
  • MiniMed Paradigm Veo 554CM y 754CM en la versión 2.7A o anteriores.
     
Descripción

Los investigadores independientes Nathanael Paul, Jay Radcliffe, Barnaby Jack, Billy Rios, Jonathan Butts y Jesse Young han detectado esta vulnerabilidad de criticidad alta. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante modificar o interferir en las configuraciones de la bomba de insulina o controlar la administración de esta.

Solución

Medtronic todavía no ha mitigado esta vulnerabilidad, pero aconseja a los pacientes afectados actualizar su bomba de insulina por un modelo más nuevo.

Detalle

Las bombas de insulina afectadas se comunican con otros dispositivos, por ejemplo glucómetros, utilizando una comunicación inalámbrica RF la cual no implementa correctamente la autenticación o autorización. Un atacante, dentro del radio de acceso, podría acceder a los modelos de bombas afectados y cambiar las dosis establecidas además de interceptar los datos. Se ha reservado el identificador CVE-2019-10964 para esta vulnerabilidad.

Encuesta valoración