Министерство внутренней безопасности США предупредило о серьезной уязвимости в кардиодефибрилляторах производства компании Medtronic, позволяющей с помощью радиосигналов получить полный контроль над устройством.
Имплантируемые кардиовертеры-дефибрилляторы (ИКД) представляют собой приборы, предназначенные для устранения угрожающих жизни аритмий и предотвращения остановки сердца.
Согласно опубликованному предупреждению, уязвимость затрагивает два десятка продуктов, включая MyCareLink Monitor (версии 24950 и 24952) и CareLink Monitor (версия 2490C).
Уязвимость CVE-2019-6538 связана с проприетарным протоколом Medtronic Conexus Radio Frequency Telemetry Protocol, служащим для беспроводного подключения к имплантированным приборам. Как выяснили специалисты Clever Security, проблема заключается в отсутствии шифрования при передаче данных. В результате атакующий, находящийся в диапазоне действия радиосигнала, может перехватить коммуникации. Более того, в протоколе не реализован механизм аутентификации легитимных устройств для подтверждения, что они имеют право управлять имплантированными дефибрилляторами. С помощью вышеуказанной и ряда других уязвимостей злоумышленник может полностью переписать прошивку дефибриллятора. Степень опасности CVE-2019-6538 оценена в 9,3 балла из максимальных 10 по шкале CVSS v3.
В рамках эксперимента исследователи смогли извлечь из уязвимых панелей MyCareLink и CareLink различные данные, в частности, имена пациентов, имена врачей, номера телефонов, а также прочитать и перезаписать прошивку, используемую для управления устройством. Хотя производитель внес изменения, усложняющие процесс чтения и перезаписи прошивки, специалисты отмечают, что их недостаточно для полного предотвращения атак. По их словам, пока не будет реализован механизм шифрования и аутентификации, устройства будут оставаться уязвимыми к вмешательству.
Источник: securitylab.ru