Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en MyCareLink Patient Monitor de Medtronic

Fecha de publicación 29/06/2018
Importancia
3 - Media
Recursos Afectados
  • 24950 MyCareLink Monitor, todas las versiones
  • 24952 MyCareLink Monitor, todas las versiones
Descripción

Peter Morgan de Clever Security ha reportado varias vulnerabilidades que afectan a productos MyCareLink Patient Monitor de Medtronic. Un potencial atacante con acceso físico podría conseguir acceso privilegiado al sistema operativo del monitor y leer y escribir valores de memoria arbitrarios.

Solución

Medtronic lanzará varias actualizaciones de producto que mitigarán las vulnerabilidades descritas en este aviso. Estas actualizaciones se aplicarán a los dispositivos automáticamente como parte de los procesos de actualización estándar recurrentes. Además, Medtronic ha aumentado la monitorización de seguridad de los dispositivos afectados y la infraestructura relacionada.

Medtronic recomienda a los usuarios tomar medidas defensivas adicionales para minimizar el riesgo de explotación de estas vulnerabilidades. Específicamente, los usuarios deberían:

  • Mantener buenos controles físicos sobre el monitor del hogar, como la mejor mitigación para estas vulnerabilidades.
  • Solo usar monitores domésticos obtenidos directamente de su proveedor de atención médica o de un representante de Medtronic para garantizar la integridad del sistema.
  • Informar a su proveedor de atención médica o a un representante de Medtronic sobre cualquier comportamiento relacionado con su monitor doméstico.

Puede encontrarse más información publicada por Medtronic en el siguiente enlace: https://www.medtronic.com/security

Detalle
  • Los productos afectados contienen contraseñas embebidas del sistema operativo. Un potencial atacante con acceso físico podría quitar la carcasa del dispositivo, conectarse al puerto de debug y usar la contraseña para obtener acceso privilegiado al sistema operativo. Se ha asignado el identificador CVE-2018-8870 para esta vulnerabilidad.
  • Los productos afectados contienen código de depuración destinado a probar la funcionalidad de las interfaces de comunicación del monitor, incluida la interfaz entre el monitor y el dispositivo cardíaco implantable. Un potencial atacante podría aprovechar esta vulnerabilidad para leer y escribir valores de memoria arbitrarios en dispositivos cardíacos implantables a través de protocolos inalámbricos inductivos o de corto alcance. Se ha asignado el identificador CVE-2018-8868 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias