Múltiples vulnerabilidades en MyCareLink Patient Monitor de Medtronic
- 24950 MyCareLink Monitor, todas las versiones
- 24952 MyCareLink Monitor, todas las versiones
Peter Morgan de Clever Security ha reportado varias vulnerabilidades que afectan a productos MyCareLink Patient Monitor de Medtronic. Un potencial atacante con acceso físico podría conseguir acceso privilegiado al sistema operativo del monitor y leer y escribir valores de memoria arbitrarios.
Medtronic lanzará varias actualizaciones de producto que mitigarán las vulnerabilidades descritas en este aviso. Estas actualizaciones se aplicarán a los dispositivos automáticamente como parte de los procesos de actualización estándar recurrentes. Además, Medtronic ha aumentado la monitorización de seguridad de los dispositivos afectados y la infraestructura relacionada.
Medtronic recomienda a los usuarios tomar medidas defensivas adicionales para minimizar el riesgo de explotación de estas vulnerabilidades. Específicamente, los usuarios deberían:
- Mantener buenos controles físicos sobre el monitor del hogar, como la mejor mitigación para estas vulnerabilidades.
- Solo usar monitores domésticos obtenidos directamente de su proveedor de atención médica o de un representante de Medtronic para garantizar la integridad del sistema.
- Informar a su proveedor de atención médica o a un representante de Medtronic sobre cualquier comportamiento relacionado con su monitor doméstico.
Puede encontrarse más información publicada por Medtronic en el siguiente enlace: https://www.medtronic.com/security
- Los productos afectados contienen contraseñas embebidas del sistema operativo. Un potencial atacante con acceso físico podría quitar la carcasa del dispositivo, conectarse al puerto de debug y usar la contraseña para obtener acceso privilegiado al sistema operativo. Se ha asignado el identificador CVE-2018-8870 para esta vulnerabilidad.
- Los productos afectados contienen código de depuración destinado a probar la funcionalidad de las interfaces de comunicación del monitor, incluida la interfaz entre el monitor y el dispositivo cardíaco implantable. Un potencial atacante podría aprovechar esta vulnerabilidad para leer y escribir valores de memoria arbitrarios en dispositivos cardíacos implantables a través de protocolos inalámbricos inductivos o de corto alcance. Se ha asignado el identificador CVE-2018-8868 para esta vulnerabilidad.