Vulnerabilidades en Medtronic 2090 CareLink Programmer
- Todas las versiones del producto: Medtronic 2090 CareLink Programmer
Actualización 15/10/2018:
- 29901 Encore Programmer, todas las versiones.
[Actualización 29/06/2018] Se añade nueva vulnerabilidad de severidad alta a las dos existentes.
Los investigadores Billy Rios y Jonathan Butts de Whitescope LLC informan de 3 vulnerabilidades, una de ellas de severidad alta, que afectan al producto 2090 CareLink Programmer de Medtronic, que es utilizado para programar y administrar dispositivos cardiacos. La explotación de estas vulnerabilidades podría causar que un atacante con acceso físico obtenga las credenciales de acceso en la red de despliegue de software. Además, un atacante con acceso a la red local, podría influir sobre las comunicaciones entre el Programmer y la red de despliegue del software.
Medtronic, tras evaluar las vulnerabilidades, determina que no se han identificado nuevos riesgos y que no sacará ninguna actualización del producto e informa de que ha tomado medidas y aplicado cambios en sus servidores para aumentar la seguridad.
Aconsejan reducir el riesgo de explotación siguiendo las medidas de precaución disponibles en el manual de su producto.
[Actualización 29/06/2018] Además, se recomienda desconectar el Programmer de la red (puede ser operado con normalidad desconectado de la red). Están disponibles actualizaciones fuera de línea.
[Actualización 29/06/2018] Tras una revisión y evaluación de riesgos adicionales de los productos afectados, Medtronic ha desactivado el mecanismo de actualización de software basado en la red, que incluye tanto la VPN como los subservicios HTTP, como medida de seguridad inmediata. Los usuarios no deben intentar actualizar los productos afectados a través de la red, ya que este mecanismo de actualización es vulnerable al ataque descrito en la sección 4.2.3. Medtronic continuará implementando y desplegando mayores protecciones de seguridad y mitigaciones para abordar las vulnerabilidades de este aviso. Los usuarios deben seguir obteniendo y aplicando actualizaciones a través de mochilas USB controladas y deben ponerse en contacto con su representante de Medtronic para obtener más información. Medtronic recomienda que los productos afectados sigan utilizándose para los fines previstos de la manera descrita anteriormente.
Las vulnerabilidades que afectan al producto son:
- Almacenamiento de contraseñas en un formato recuperable: El producto usa credenciales por defecto que podrían ser recuperadas por el atacante. Esta vulnerabilidad se le ha reservado el identificador CVE-2018-5446
- Incorrecta limitación de rutas de directorios (path transversal): Podría dar acceso de lectura a archivos del sistema. Esta vulnerabilidad se le ha reservado el identificador CVE-2018-5448
- [Actualización 29/06/2018] Restricción inapropiada del canal de comunicación hacia los endpoint. Los productos afectados no verifican si están usando una red privada virtual (VPN) cuando descargan actualizaciones. Un atacante podría influir en dichas comunicaciones cuando no se usara una VPN. Se ha reservado el identificador CVE-2018-10596 para esta vulnerabilidad.