______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Уязвимость в помпах Medtronic MiniMed 508 позволяет инициировать подачу инсулина

Для эксплуатации уязвимости на устройстве должны стоять настройки «easy bolus» и «remote bolus».

В инсулиновых помпах Medtronic MiniMed 508 исправлены уязвимости, позволяющие повторно воспроизводить перехваченное беспроводное подключение и инициировать подачу инсулина. Впрочем, атака невозможна при заводских конфигурациях помпы. Кроме того, устройство возвестит пациента о подаче препарата с помощью соответствующего сигнала, и он сможет ее отключить.

В случае, если на подключенной к удаленному контроллеру помпе стоят настройки «easy bolus» и «remote bolus» (не заводские), злоумышленник может воспроизвести перехваченное подключение (атака capture-replay). Уязвимость получила идентификатор CVE-2018-14781 и 5,3 балла по системе оценивания опасности уязвимости CVSS v3.

Вторая проблема заключается в том, что данные между помпой и беспроводным устройством передаются в незашифрованном виде. Злоумышленник может перехватить их и получить полезную информацию, например, серийный номер помпы.

Уязвимость получила идентификатор CVE-2018-10634 и 4,3 балла по системе оценивания опасности уязвимости CVSS v3.

Проблема затрагивает следующие модели:

MMT — 508 MiniMed Insulin Pump,

MMT — 522 / MMT — 722 Paradigm REAL-TIME,

MMT — 523 / MMT — 723 Paradigm Revel,

MMT — 523K / MMT — 723K Paradigm Revel,

MMT — 551 / MMT — 751 MiniMed 530G.

Атака capture-replay (атака повторного воспроизведения) – атака на систему аутентификации путем записи и последующего воспроизведения ранее посланных корректных сообщений или их частей.

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх