Deux vulnérabilités ont été identifiées sur les moniteurs MyCareLink de Medtronic

Deux failles ont été identifiées sur les moniteurs MyCareLink de Medtronic. L'exploitation de ces vulnérabilités permettrait à un attaquant ayant un accès physique au moniteur d'obtenir un accès privilégié au système d'exploitation ou un accès en mode lecture/écriture à la mémoire de ce dernier.

Les vulnérabilités découvertes sont :

  • CVE-2018-8868 : les moniteurs vulnérables contiennent une fonction de débogage destinée à tester leurs interfaces de communication dont une avec un dispositif cardiaque. L'exploitation de cette vulnérabilité permettrait à un attaquant de lire et écrire des données dans la mémoire d'un dispositif cardiaque. L'attaquant doit néanmoins se trouver à proximité dudit dispositif.
  • CVE-2018-8870 : les moniteurs vulnérables contiennent un mot de passe codé en dur permettant de s'authentifier sur le système d'exploitation. Un attaquant avec un accès physique pourrait enlever le boîtier du moniteur, se connecter au port de débogage et utiliser ce mot de passe pour obtenir un accès privilégié au système d'exploitation.
Informations
+

Impact

  • Accès privilégié au système d'exploitation
  • Confidentialité
  • Intégrité

Criticité

  • CVSS v3 : 6.4 (Le score CVSS de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Les moniteurs MyCareLink suivants sont affectés:
    • 24950 MyCareLink Monitor, toutes les versions;
    • 24952 MyCareLink Monitor, toutes les versions.

CVE

  • CVE-2018-8868
  • CVE-2018-8870

Recommandations
+

Correctifs

  • Des correctifs de sécurité seront publiés par Medtronic.
  • Ces mises à jour seront appliquées automatiquement aux périphériques (OTA).

Solution d'atténuation

  • Medtronic recommande aux utilisateurs de prendre des mesures afin d'atténuer le risque d'exploitation de ces vulnérabilités. Elles ont été publiées dans l'avis ICS-CERT.US.