Medtronic的MyCareLink Smart 25000 Patient Reader產(chǎn)品中發(fā)現(xiàn)的漏洞可能被利用來控制配對的心臟設(shè)備。
MCL智能患者讀取器旨在從患者的植入式心臟設(shè)備中獲取信息�,然后將數(shù)據(jù)發(fā)送到Medtronic CareLink網(wǎng)絡(luò)�,以通過患者的移動(dòng)設(shè)備促進(jìn)護(hù)理管理���。
物聯(lián)網(wǎng)安全公司Sternum的研究人員在MCL Smart Model 25000 Patient Reader中發(fā)現(xiàn)了三個(gè)漏洞�,可以利用這些漏洞來修改或構(gòu)造從植入的患者設(shè)備傳輸?shù)紺areLink網(wǎng)絡(luò)的數(shù)據(jù)�。
此外,它們可以允許攻擊者在MCL Smart Patient Reader上遠(yuǎn)程執(zhí)行代碼�����,從而基本上控制配對的心臟設(shè)備���。但是����,要利用這些缺陷��,攻擊者必須處于易受攻擊產(chǎn)品的藍(lán)牙范圍內(nèi)�。
跟蹤到的漏洞為CVE-2020-25183(CVSS分?jǐn)?shù)為8.0)����,其中一個(gè)錯(cuò)誤是身份驗(yàn)證協(xié)議問題,使攻擊者可以繞過用于在MCL Smart Patient Reader和Medtronic MyCareLink Smart移動(dòng)應(yīng)用之間進(jìn)行身份驗(yàn)證的方法���。
“利用此漏洞���,攻擊者可以使用患者智能手機(jī)上的其他移動(dòng)設(shè)備或惡意應(yīng)用程序?qū)颊叩腗edtronic Smart Reader進(jìn)行身份驗(yàn)證����,使該設(shè)備認(rèn)為在藍(lán)牙通信范圍內(nèi)執(zhí)行時(shí)�����,該設(shè)備正在與原始Medtronic智能手機(jī)應(yīng)用程序進(jìn)行通信����, ”中鋼協(xié)音符的咨詢。
跟蹤為CVE-2020-25187�,CVSS分?jǐn)?shù)為8.8,當(dāng)經(jīng)過身份驗(yàn)證的攻擊者運(yùn)行發(fā)送給患者讀取器的調(diào)試命令時(shí)��,會(huì)觸發(fā)第二個(gè)漏洞�。這可能會(huì)導(dǎo)致堆溢出,從而導(dǎo)致遠(yuǎn)程執(zhí)行代碼��,從而可能使攻擊者控制設(shè)備����。
同樣���,CVSS評分為8.8,第三個(gè)漏洞(CVE-2020-27252)是一種競態(tài)條件����,可以利用競態(tài)條件在Patient Reader上上傳并執(zhí)行未簽名的固件。這可能使攻擊者可以遠(yuǎn)程執(zhí)行代碼�,從而控制設(shè)備。
美敦力(Medtronic)已發(fā)布固件更新來解決該漏洞�,可以通過MyCareLink Smart應(yīng)用程序通過關(guān)聯(lián)的移動(dòng)應(yīng)用程序商店來應(yīng)用它。更新應(yīng)用程序(至5.2.0或更高版本)還可以確��;颊唛喿x器在下次使用時(shí)自動(dòng)更新���。該公司已發(fā)布有關(guān)如何應(yīng)用此更新的分步詳細(xì)信息�����。
作為其他緩解措施�����,美敦力(Medtronic)實(shí)施了Sternum的增強(qiáng)完整性驗(yàn)證(EIV)技術(shù)和高級檢測系統(tǒng)技術(shù),從而使其能夠檢測漏洞并監(jiān)視異常設(shè)備活動(dòng)�。
Medtronic解釋說:“迄今為止����,尚未發(fā)現(xiàn)任何網(wǎng)絡(luò)攻擊����,未經(jīng)授權(quán)訪問患者數(shù)據(jù)以及對患者沒有造成傷害的情況����!
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
