DHS предупреждает об уязвимости медицинских устройств Medtronic

Министерство внутренней безопасности опубликовало предупреждение о критических недостатках в медицинском оборудовании Medtronic. Отчет, опубликованный 21 марта, связывает критическую уязвимость (оценка CVSS 9,3) с многочисленными имплантированными кардиологическими устройствами Medtronic, а также с их MyCareLink Monitor, CareLink Monitor, CareLink 2090 Programmer. Уязвимость, возникающая из-за «ненадлежащего контроля доступа» и «передачи конфиденциальной информации открытым текстом», рассматривается DHS как легко эксплуатируемая в умелых руках.

Министерство внутренней безопасности объясняет последствия этого эксплойта в следующем заявлении из отчета:

Успешное использование этих уязвимостей может позволить злоумышленнику, имеющему ближайший доступ к одному из уязвимых продуктов, вмешиваться, генерировать, изменять или перехватывать радиочастотную (РЧ) связь собственной телеметрической системы Medtronic Conexus, что может повлиять на функциональность продукта. и/или предоставление доступа к передаваемым конфиденциальным данным. Для успешного использования требуется: (1) радиочастотное устройство, способное передавать или принимать данные телеметрии Conexus, например монитор, программатор или программно-определяемое радио (SDR); (2) иметь соседний ближний доступ к затронутым продуктам; и (3) чтобы продукты находились в состояниях, в которых радиочастотная функциональность активна.

Перед процедурой имплантации устройства и во время последующих визитов в клинику сеансы телеметрии Conexus требуют запуска с помощью индуктивного протокола. Вне этих сред использования РЧ-радио в пораженном имплантированном устройстве включается на короткие периоды времени для поддержки запланированных последующих передач и других уведомлений о работе и безопасности. Результатом успешного использования этих уязвимостей может быть возможность чтения и записи любой допустимой области памяти на уязвимом имплантированном устройстве и, следовательно, влияние на предполагаемую функцию устройства.

Как сообщает Threatpost Лаборатории Касперского Medtronic знает о ситуации и работает над ее исправлением. Проблема в том, что исправление не будет готово до неопределенного момента в 2019 году, и, что еще больше усугубляет проблему, это не первый случай, когда продукты Medtronic имеют серьезные уязвимости. Как отметила репортер Линдси О'Доннелл в своем отчете для Threatpost, в 2018 году компания столкнулась с проблемой «удаленной имплантации кода», которая открывала доступ к якобы защищенной сети развертывания программного обеспечения.

Медицинское оборудование, как правило, не так часто упоминается в разговоре при обсуждении вопросов информационной безопасности. Как показывает этот случай, многое еще предстоит сделать для обеспечения безопасности оборудования, которое буквально спасает жизни. Пусть это послужит предупреждением для всей медицинской отрасли о том, что им необходимо усилить меры безопасности.