Проблемы позволяют злоумышленнику похитить учетные данные из устройства.
В медицинском оборудовании Medtronic MyCareLink Patient Monitor, предназначенном для мониторинга состояния пациентов, обнаружены две опасные уязвимости.
Успешная эксплуатация данных проблем может позволить злоумышленнику с физическим доступом получить учетные данные, использующиеся для аутентификации загрузки и шифрования данных на всех устройствах. Заполучив данные, хакер сможет загружать некорректную информацию в сеть Medtronic CareLink.
Первая уязвимость CVE-2018-10626 представляет собой проблему некорректной проверки аутентификации данных. Служба обновления затронутого продукта некорректно проверяет подлинность загруженных данных, позволяя злоумышленнику загружать произвольную информацию в сеть Medtronic CareLink.
Вторая уязвимость CVE-2018-10622 является проблемой хранения пароля в восстанавливаемом формате. Проэксплуатировав данную уязвимость, злоумышленник может аутентифицироваться в сети для шифрования локальных данных.
Проблемы затрагивают все модели Medtronic MyCareLink 24950 и Medtronic MyCareLink 24952. Компания-производитель уже выпустила соответсвующие исправления.
Спойлер: мы раскрываем их любимые трюки