Смертельная уязвимость в медицинском устройстве: как хакеры могут контролировать ваше сердце

Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило о критической уязвимости, обнаруженной в системах кардиологического оборудования медицинской компании Medtronic.

Уязвимость CVE-2023-31222 (CVSS: 9.8) влияет на ПО компании под названием Paceart Optima, функционирующее на Windows-серверах медицинских организаций. Paceart Optima используется для хранения и извлечения данных с устройств, работающих в системах всех крупных производителей медицинских устройств.

Уязвимость позволяет хакерам похищать, удалять или изменять данные, а также проникать в сеть медицинской организации. Кроме того, с помощью этой ошибки злоумышленник может удалённо выполнять код на устройстве (Remote Code Execution, RCE) и проводить DoS-атаки (Denial of Service, DoS).

Medtronic подтвердила наличие уязвимости в функции обмена сообщениями Paceart Optima, которая по умолчанию не активирована. Производитель оборудования призвал медучреждения связаться с технической поддержкой Medtronic Paceart для установки обновления и устранения уязвимости. Недостаток затрагивает все версии приложения 1.11 и более ранние, но до сих пор случаи его эксплуатации не зафиксированы.

Эксперты отрасли подчеркнули, что Medtronic Paceart Optima собирает критически важные данные, и любые вмешательства могут серьезно нарушить работу больниц и уход за пациентами. Поскольку уязвимость позволяет удаленно выполнять код в системе Optima, опытный злоумышленник сможет найти способы помешать общему обслуживанию устройства и связанным с ним рабочим процессам в больнице.

Отмечается, что уязвимость очень легко эксплуатировать, и она может быть полезна для тех вымогательских группировок, которые обычно нацелены на больницы и организации здравоохранения. Наиболее вероятным сценарием будет то, что группа вымогателей использует уязвимость как для шифрования, так и для вымогательства после кражи данных пациентов. В мире в целом наблюдается значительный рост использования IoT-устройств, и большинство из них в клинических условиях работают без надёжных паролей, что резко увеличивает риск компрометации устройств с целью получения выкупа.