醫療監控儀MyCareLink Patient二缺失,恐影響病患與裝置安全性
- 發布單位:TWCERT/CC
- 更新日期:2019-04-02
- 點閱次數:540
CVE編號
CVE-2018-8868 CVE-2018-8870
內文
●概述:
知名大型醫療科技公司Medtronic,營售MyCareLink Patient Monitor,是用於監測病患生命跡象的看護監控儀器,經測試設備作業系統,察覺兩項缺失,一是hard-coded密碼可擴權操縱OS;二是MyCareLink監控儀debug port可連接專屬介面,攻擊者透過短距感應之通訊協定,讀寫身旁患者心律調整器之記憶體內容,恐怕干擾心臟病患脈搏,Medtronic獲告此事,已著手修補,近期將啟動無線更新設備,居家使用該型醫材之病患及家屬,請關注更新進度。
●編註:
(1)HARD-CODED密碼
MyCareLink監控儀作業系統,開發時留下一組內建寫死密碼,攻擊者掌握該密碼,只要實機接觸監控儀,即可取得OS控制權,能進行系統級操作,從平台移除已安裝設備、連接debug port。
(2)病理資訊外流
偵錯碼(debug code)是MyCareLink Monitor設備既有功能項目,能測試各種通訊界面,也包含MyCareLink監控儀與植入式心臟醫療器材之專用介面,若駭客鄰近某位裝置心律調整器的患者,結合上段所述hard-coded密碼破綻,駭客可經debug port發動連鎖入侵,濫用監控儀偵錯功能,透過短距感應之通訊協定,隨意讀寫心律調整器記憶體資料內容,干擾心臟病患正常脈搏。
影響產品
MyCareLink Monitor 24950 /MyCareLink Monitor 24952
解決辦法
Medtronic將空中無線更新,且自動套用至弱點產品,納入標準規格。
相關連結
- https://ics-cert.us-cert.gov/advisories/ICSMA-18-179-01
- https://nvd.nist.gov/vuln/detail/CVE-2018-8868
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8870
- http://www.nsfocus.net/vulndb/40268
- http://www.nsfocus.net/vulndb/40263
- http://www.medtronic.com/us-en/product-security.html?utm_source=medtronic_com_security_vanity_url&ut
- https://zh.wikipedia.org/wiki/%25E7%25BE%258E%25E6%2595%25A6%25E5%258A%259B
- https://www.digitimes.com.tw/tw/dt/n/shwnws.asp?cnlid=10&id=0000445196_e7n0972nln57e45pqmfdb
- https://www.medtronic.com/content/dam/medtronic-com/global/HCP/Images/reveal-linq--a3-1c.jpg