Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Deserialización de datos no confiables en Paceart Optima System de Medtronic

Fecha de publicación 30/06/2023
Identificador

INCIBE-2023-0248

Importancia
5 - Crítica
Recursos Afectados

Paceart Optima: Versiones 1.11 y anteriores.

Descripción

Medtronic ha reportado una vulnerabilidad de severidad crítica que podría provocar una ejecución remota de código o una denegación de servicio en una organización de atención médica.

Solución

Medtronic recomienda actualizar el sistema Paceart Optima a v1.12. Para ello es necesario comunicarse con Medtronic para programar la actualización.

Algunas mitigaciones inmediatas que los usuarios pueden aplicar son deshabilitar manualmente el servicio de mensajería Paceart en el servidor de aplicaciones y la cola de mensajes en el servidor de aplicaciones.

Detalle

Un usuario, no autorizado podría aprovechar esta vulnerabilidad de severidad crítica para realizar una ejecución remota de código y/o ataques de denegación de servicio (DoS) mediante el envío de mensajes especialmente diseñados. La ejecución remota de código podría provocar la eliminación, el robo o la modificación de los datos del dispositivo cardíaco del sistema, o el uso para una mayor penetración de la red. Un ataque DoS podría hacer que el sistema se ralentice o no responda.

Se ha asignado el identificador CVE-2023-31222 para esta vulnerabilidad.