Des vulnérabilités critiques identifiées dans les produits cardiaques Medtronic

Des chercheurs en sécurité viennent de rapporter deux vulnérabilités critiques affectant plusieurs produits Medtronic au Centre national d'intégration de la cybersécurité et des communications (The National Cybersecurity & Communications Integration Center).

Un attaquant disposant d'un équipement radio et ayant connaissance du protocole propriétaire Conexus, pourrait intercepter les ondes radio et modifier les informations échangées avec les implants cardiaques. Ce faisant, un attaquant pourrait modifier le contenu de la mémoire des implants cardiaques et donc avoir un impact sur le fonctionnement attendu du dispositif.

Détails techniques :

CVE-2019-6538 [CVSS 9.3] : Absence de contrôle d'accès 
Le protocole de télémétrie Conexus utilisé dans cet écosystème n'implémente ni authentification ni autorisation.
Un attaquant ayant un accès radio à courte portée à un produit affecté (dans le cas où la radio du produit est allumée), peut injecter, rejouer, modifier et/ou intercepter des données dans la communication télémétrique.

Ce protocole de communication permet de lire et d'écrire les valeurs de mémoire dans les dispositifs cardiaques implantés affectés. Par conséquent, un attaquant pourrait exploiter ce protocole de communication pour modifier la mémoire du dispositif cardiaque implanté.

CVE-2019-6540 [CVSS 6.5] : Communication en clair d'information sensible
Le protocole de télémétrie Conexus utilisé dans cet écosystème n'implémente pas de chiffrement. Un attaquant ayant un accès radio à courte portée à un produit cible peut écouter les communications, y compris la transmission de données de santé à caractère personnel .

Medtronic a publié des contrôles supplémentaires afin de surveiller les utilisations inappropriées du protocole de télémétrie Conexus pour les dispositifs cardiaques affectés. Des mises à jour de sécurité sont en cours de développement par Medtronic mais devront être validées avant déploiement.

Informations
+

Risques

  • Atteinte à la confidentialité des données ;
    Modification des paramètres.

Criticité

  • Score CVSS : 9.30

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • MyCareLink Monitor, Versions 24950 and 24952

  • CareLink Monitor, Version 2490C

  • CareLink 2090 Programmer

  • Amplia CRT-D (tous les modèles)

  • Claria CRT-D (tous les modèles)

  • Compia CRT-D (tous les modèles)

  • Concerto CRT-D (tous les modèles)

  • Concerto II CRT-D (tous les modèles)

  • Consulta CRT-D (tous les modèles)

  • Evera ICD (tous les modèles)

  • Maximo II CRT-D and ICD (tous les modèles)

  • Mirro ICD (tous les modèles)

  • Nayamed ND ICD (tous les modèles)

  • Primo ICD (tous les modèles)

  • Protecta ICD and CRT-D (tous les modèles)

  • Secura ICD (tous les modèles)

  • Virtuoso ICD (tous les modèles)

  • Virtuoso II ICD (tous les modèles)

  • Visia AF ICD (tous les modèles)

  • Viva CRT-D (tous les modèles)

CVE

  • CVE-2019-6538
  • CVE-2019-6540

Recommandations
+

Mise en place de correctif de sécurité

  • Aucun correctif de sécurité n'est actuellement disponible.

Solution de contournement

En attendant la mise en place de correctifs, Medtronic conseille aux utilisateurs de prendre des mesures défensives supplémentaires afin de garantir la sécurité des équipements, notamment : 

  1. De garder un bon contrôle physique sur les moniteurs et les programmateurs domestiques ;
  2. De n'utiliser que des moniteurs domestiques, des programmateurs et des dispositifs implantables obtenus directement auprès d'un professionnel de santé ou d'un représentant de Medtronic, pour assurer l'intégrité du système ;
  3. De ne pas connecter d'appareils non approuvés à des moniteurs et des programmateurs domestiques via des ports USB ou d'autres connexions physiques ;
  4. De n'utiliser que des programmeurs pour connecter et interagir avec des dispositifs implantés dans des environnements hospitaliers et cliniques contrôlés physiquement ;
  5. De n'utiliser les moniteurs domestiques que dans des environnements privés tels que la maison, l'appartement ou tout autre environnement contrôlé physiquement ;
  6. De signaler tout comportement préoccupant concernant ces produits à votre professionnel de santé ou à un représentant de Medtronic.

Le NCCIC recommande également aux utilisateurs de minimiser les risques d'exploitation des vulnérabilités avec les mesures suivantes :
- Restreindre l'accès au système au personnel autorisé seulement et suivre l'approche du moindre privilège ;
- Appliquer des stratégies de défense en profondeur ;
- Désactiver les comptes et services non utilisés ;
- Lorsque des informations supplémentaires sont nécessaires, se référer aux directives existantes sur la cybersécurité dans les dispositifs médicaux publiées par la FDA qui peuvent être trouvées à l'adresse suivante.