Сотни тысяч дефибрилляторов Medtronic уязвимы ко взлому

Министерство внутренней безопасности США предупредило о серьезной уязвимости в кардиодефибрилляторах производства компании Medtronic, позволяющей с помощью радиосигналов получить полный контроль над устройством.

Имплантируемые кардиовертеры-дефибрилляторы (ИКД) представляют собой приборы, предназначенные для устранения угрожающих жизни аритмий и предотвращения остановки сердца.

Согласно опубликованному предупреждению, уязвимость затрагивает два десятка продуктов, включая MyCareLink Monitor (версии 24950 и 24952) и CareLink Monitor (версия 2490C). Полный список уязвимых устройств доступен здесь .

Уязвимость CVE-2019-6538 связана с проприетарным протоколом Medtronic Conexus Radio Frequency Telemetry Protocol, служащим для беспроводного подключения к имплантированным приборам. Как выяснили специалисты Clever Security, проблема заключается в отсутствии шифрования при передаче данных. В результате атакующий, находящийся в диапазоне действия радиосигнала, может перехватить коммуникации. Более того, в протоколе не реализован механизм аутентификации легитимных устройств для подтверждения, что они имеют право управлять имплантированными дефибрилляторами. С помощью вышеуказанной и ряда других уязвимостей злоумышленник может полностью переписать прошивку дефибриллятора. Степень опасности CVE-2019-6538 оценена в 9,3 балла из максимальных 10 по шкале CVSS v3.

В рамках эксперимента исследователи смогли извлечь из уязвимых панелей MyCareLink и CareLink различные данные, в частности, имена пациентов, имена врачей, номера телефонов, а также прочитать и перезаписать прошивку, используемую для управления устройством. Хотя производитель внес изменения, усложняющие процесс чтения и перезаписи прошивки, специалисты отмечают, что их недостаточно для полного предотвращения атак. По их словам, пока не будет реализован механизм шифрования и аутентификации, устройства будут оставаться уязвимыми к вмешательству.