Vulnérabilité dans Insulet Omnipod

Une vulnérabilité de type authentification faible a été découverte dans Insulet Omnipod, un dispositif médical utilisé en tant que pompe à insuline. Un attaquant présent dans l’environnement radio de l’appareil peut, en exploitant cette faille, intercepter et modifier les données échangées entre la pompe “patch” et son contrôleur électronique.

CVE-2020-10597 [Score CVSS v3 : 7.3] : Une vulnérabilité a été découverte dans le dispositif Insulet Omnipod. En effet, l’appareil communique avec son contrôleur électronique via un protocole transporté sur signal radio. Celui-ci n’implémente pas de mécanismes d’authentification et de d’autorisation, permettant à un attaquant présent dans l’environnement radio de la pompe “patch” d’intercepter et modifier les données échangées avec son contrôleur électronique. Cette vulnérabilité mène ainsi à la possibilité pour l’attaquant de changer les paramètres de la pompe, y compris ceux concernant l’administration d’insuline.

Informations
+

Risques

  • Perte d’intégrité des messages

  • Modification inopinée des paramètres de l’appareil

Criticité

  • Score CVSS v3 : 7.3

Existence d’un code d’exploitation

  • Pas de code d’exploitation disponible publiquement à ce jour, cependant la vulnérabilité décrite est considérée comme étant facile à exploiter

Composants vulnérables

  • Insulet Omnipod  ZXP425 et ZXR425

CVE

  • CVE-2020-10597


Recommandations
+

Mise en place de correctifs de sécurité

  • L’utilisation d’un nouveau modèle du constructeur comportant des améliorations de sécurité peut être envisagée

Solution de contournement

  • Aucune solution de contournement n’est disponible, il est cependant recommandé par le constructeur de maintenir son attention sur les notifications de l’appareil et le taux de glycémie, ainsi que d’annuler les administrations ponctuelles inopinées.