4 nouvelles vulnérabilités ciblent des appareils Medtronic

Medtronic a découvert quatre nouvelles vulnérabilités modérées dont deux sur les pompes à insuline MiniMed et deux sur les moniteurs cardiaques MyCareLink Monitor.

Vulnérabilités MiniMed :

CVE-2018-10634 [CVSS 4.8] : La pompe à insuline communique en clair avec des accessoires sans-fils. Un attaquant pourrait capturer les échanges entre la télécommande et la pompe à insuline pour obtenir des informations sensibles comme le numéro de série de l’appareil.

CVE-2018-14781 [CVSS 5.3] : Les appareils (voir liste en rubrique Informations) connectés aux télécommandes MMT-500 ou MMT-503 sont vulnérables à une attaque par rejeu. Un attaquant pourrait capturer les échanges entre l’appareil et la télécommande et provoquer par rejeu, une injection d’insuline. Cela pourrait entraîner des risques potentiels pour la santé comme l’hypoglycémie, si de l’insuline est administrée au-delà des besoins en insuline de l’utilisateur.

Vulnérabilités MyCareLink Patient Monitor :

CVE-2018-10622 [CVSS 4.9] : Les appareils vulnérables utilisent des identifiants de connexion qui sont stockés dans un format lisible par un attaquant. Ce dernier pourrait les utiliser pour s’authentifier sur le réseau MyCareLink et pour déchiffrer les données locales chiffrées.

CVE-2018-10626 [CVSS 4.4] : Le service de mise à jour des produits vulnérables ne vérifie pas l’origine des données téléversées. Un attaquant ayant obtenu les identifiants de connexion du moniteur et les informations de l’appareil cardiaque appairé pourrait téléverser des données erronées sur le réseau MyCareLink.

Informations
+

Impacts

  • Atteinte à l’intégrité
  • Atteinte à la confidentialité
  • Risques médicaux

Criticité

  • CVSS v3 : 5.3 (Le score CVSS de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Les pompes à insuline suivantes sont affectées :
    • Pompe MiniMedTM 508 Medtronic
    • Pompe MiniMedTM Paradigm™ 511
    • Pompes MiniMedTM ParadigmTM 512/712
    • Pompes MiniMedTM ParadigmTM 515/715
    • Pompes MiniMedTM ParadigmTM 522/722
    • Pompes MiniMedTM ParadigmTM 523/723
    • Pompes MiniMedTM ParadigmTM 523(K)/723(K)
    • Pompes MiniMedTM 530G 551/751
    • MiniMedTM Paradigm™ Veo™ 554/754

Si elles sont reliées aux télécommandes MiniMed MMT-500 et MMT-503

  • Les moniteurs MyCareLink suivants sont affectés :
    • 24950 MyCareLink Monitor, toutes les versions;
    • 24952 MyCareLink Monitor, toutes les versions.

CVE

  • CVE-2018-10634
  • CVE-2018-14781
  • CVE-2018-10622
  • CVE-2018-10626

Recommandations
+

Correctifs

  • Medtronic ne publiera pas de correctifs pour les vulnérabilités des appareils de la gamme MiniMed.
  • Concernant les vulnérabilités MyCareLink, Medtronic a renforcé les sécurités de ses serveurs pour les corriger.

Solution d'atténuation