Control de acceso incorrecto en Omnipod Insulin Management System de Insulet
Las siguientes versiones del Omnipod Insulin Management System, de Insulet, están afectadas:
- Product ID/Reorder, números 19191 y 40160;
- UDI/Model/NDC, números ZXP425 (10-Pack) y ZXR425 (10-Pack Canada).
La organización Thirdwayv Inc. ha reportado una vulnerabilidad de tipo control de acceso incorrecto. Esta vulnerabilidad podría permitir a un atacante acceder al producto e interceptar, modificar o interferir en la comunicación inalámbrica RF hacia o desde el producto.
El fabricante recomienda a los usuarios afectados que contacten con su proveedor para conocer el riesgo de continuar con su uso o poder cambiar al último modelo, que cuenta con mejoras en ciberseguridad. El fabricante también ha publicado información adicional acerca de esta vulnerabilidad.
El protocolo de comunicación del producto afectado no implementa autorización o autenticación. Esta vulnerabilidad podría permitir acceder a información sensible, cambiar la configuración de la bomba de insulina o controlar la administración de insulina. Se ha reservado el identificador CVE-2020-10597 para esta vulnerabilidad.
