Múltiples vulnerabilidades en Medtronic MyCareLink Smart
Fecha de publicación 11/12/2020
Importancia
4 - Alta
Recursos Afectados
MyCareLink (MCL) Smart Model 25000 Patient Reader, todas las versiones.
Descripción
Diversos investigadores han notificado a Medtronic 3 vulnerabilidades de severidad alta, de tipo autenticación inadecuada, desbordamiento de búfer basado en memoria dinámica (heap) y condición de carrera TOCTOU.
Solución
- Acceder a la tienda de aplicaciones móviles asociada y actualizar MyCareLink Smartapp a la versión firmware 5.2.
- Actualizar la versión del sistema operativo del dispositivo móvil a iOS 10 o superior, o Android 6.0 o superior.
Detalle
- La vulnerabilidad de autenticación inadecuada por omisión, que radica en el protocolo de autenticación entre MCL Smart Patient Reader y la app móvil MyCareLink Smart, podría permitir a un atacante realizar un spoofing contra el MCL Smart Patient Reader dentro del rango de alcance de la comunicación Bluetooth. Se ha asignado el identificador CVE-2020-25183 para esta vulnerabilidad.
- La vulnerabilidad de desbordamiento de búfer basado en memoria dinámica podría permitir a un atacante ejecutar código de forma remota en MCL Smart Patient Reader, pudiendo resultar en el control del dispositivo. Se ha asignado el identificador CVE-2020-25187 para esta vulnerabilidad.
- La vulnerabilidad de condición de carrera TOCTOU afecta al sistema de actualización del software MCL Smart Patient Reader y podría permitir a un atacante cargar y ejecutar firmware sin firmar, dando lugar a la ejecución remota de código y el control del dispositivo. Se ha asignado el identificador CVE-2020-27252 para esta vulnerabilidad.
Listado de referencias
Etiquetas