Vulnérabilités dans des produits Medtronic

Deux vulnérabilités ont été découvertes dans le protocole de télémétrie Conexus utilisé par plusieurs produits Medtronic afin de transmettre ou recevoir des données. Un attaquant à portée de signal exploitant ces vulnérabilités peut provoquer une atteinte à l’intégrité, la confidentialité et à la disponibilité de données médicales potentiellement sensibles. 

CVE-2019-6538 [Score CVSS v3 : 9.3 selon le CERT-US, 6.5 selon NVD] : Le protocole de télémétrie Conexus ne possède pas de processus d’authentification ou d’autorisation. Un attaquant à portée de signal peut exploiter cette vulnérabilité afin d’injecter, rejouer, modifier et/ou intercepter des données lorsque les fonctionnalités radio du produit sont actives.

CVE-2019-6540 [Score CVSS v3 : 6.5] : Le protocole de télémétrie Conexus ne possède pas de processus de chiffrement. Un attaquant à portée de signal peut exploiter cette vulnérabilité afin d’écouter des communications, incluant la transmission de données sensibles.

Informations
+

Risques

  • Atteinte à la confidentialité, l’intégrité et à la disponibilité de données sensibles

Criticité

  • Score CVSS v3 : 9.3 selon le CERT-US, 6.5 selon NVD

Existence d’un code d’exploitation

  • Aucun code d'exploitation n’est disponible mais cette vulnérabilité est considérée comme triviale à exploiter

Composants vulnérables

  • MyCareLink Monitor, Versions 24950 and 24952

  • CareLink Monitor, Version 2490C

  • CareLink 2090 Programmer

  • Amplia CRT-D (tout modèle)

  • Claria CRT-D (tout modèle)

  • Compia CRT-D (tout modèle)

  • Concerto CRT-D (tout modèle)

  • Concerto II CRT-D (tout modèle)

  • Consulta CRT-D (tout modèle)

  • Evera ICD (tout modèle)

  • Maximo II CRT-D and ICD (tout modèle)

  • Mirro ICD (tout modèle)

  • Nayamed ND ICD (tout modèle)

  • Primo ICD (tout modèle)

  • Protecta ICD and CRT-D (tout modèle)

  • Secura ICD (tout modèle)

  • Virtuoso ICD (tout modèle)

  • Virtuoso II ICD (tout modèle)

  • Visia AF ICD (tout modèle)

  • Viva CRT-D (tout modèle)

  • Brava CRT-D (tout modèle)

  • Mirro MRI ICD (tout modèle)

CVE

  • CVE-2019-6538

  • CVE-2019-6540


Recommandations
+

Mise en place de correctifs de sécurité

  • Des correctifs sont disponibles pour les produits suivants : 

    • Amplia MRI CRT-D, tout modèle (correctif disponible aux Etats-Unis uniquement)

    • Claria MRI CRT-D, tout modèle (correctif disponible aux Etats-Unis uniquement)

    • Compia MRI CRT-D, tout modèle (correctif disponible aux Etats-Unis uniquement)

    • Visia AF MRI ICD, tout modèle

    • Visia AF ICD, tout modèle

    • Brava CRT-D, tout modèle                                            

    • Evera MRI ICD, tout modèle

    • Evera ICD, tout modèle

    • Mirro MRI ICD, tout modèle

    • Primo MRI ICD, tout modèle

    • Viva CRT-D, tout modèle

Solution de contournement

  • Des solutions de contournement sont disponibles ici dans la partie Mitigations