Federaller, Medtronic, Kardiyak Cihaz Veri Aracındaki Kusur Uyarısı

   Haziran 29, 2023  Posted in Bankinfosecurity


Uç Nokta Güvenliği , Nesnelerin İnterneti Güvenliği , Standartlar, Düzenlemeler ve Uyumluluk

Hizmet Reddi Saldırısı, Uzaktan Kod Yürütme Medtronic’in Paceart Optima Sistemini Etkileyebilir

Marianne Kolbasuk McGee (SağlıkBilgisi) •
29 Haziran 2023

Federaller, Medtronic, Kardiyak Cihaz Veri Aracındaki Kusur Uyarısı
Medtronic bir bültende, Paceart Optima sistemindeki bir güvenlik açığının kötüye kullanılması durumunda sağlık kuruluşlarını nasıl etkileyebileceğini açıklıyor. (Resim: Medtronic)

Federal düzenleyiciler, tıbbi cihaz üreticisi Medtronic’in kalp cihazlarından veri toplama ve yönetmeye yönelik Paceart Optima Sistemindeki bir güvenlik açığı hakkında uyarıda bulunuyor. Açıktan yararlanılırsa, sistemin operasyonlarını ve verilerini etkileyebilecek bir hizmet reddi saldırısına veya uzaktan kod yürütülmesine yol açabilir.

Ayrıca bakınız: OT-CERT: KOBİ’lerin Siber Güvenlik Risklerini Ele Almalarını Sağlamak

CISA, Perşembe günü yayınlanan bir danışma belgesinde, Medtronic’in Paceart Optima, sürüm 1.11 ve önceki sürümlerinde tanımlanan güvenilmeyen veri güvenlik açığının seriden kaldırılmasının uzaktan istismar edilebileceğini ve düşük saldırı karmaşıklığına sahip olduğunu söyledi.

Açıklığı CISA’ya bildiren Medtronic, güvenlik açığının Paceart Optima kardiyak cihazı veri iş akışı sisteminin isteğe bağlı bir mesajlaşma özelliğinde olduğunu açıklayan bir bülten de yayınladı.

Medtronic, “Bu özellik varsayılan olarak yapılandırılmamıştır ve etkinleştirilmedikçe bundan yararlanılamaz.” Dedi.

CISA, kötü niyetli bir aktörün Paceart Optima sistemine özel hazırlanmış mesajlar göndererek uzaktan kod yürütme ve/veya DDoS saldırıları gerçekleştirmek için güvenlik açığından yararlanabileceği konusunda uyardı.

“Uzaktan kod yürütme, Paceart Optima sisteminin kardiyak cihaz verilerinin silinmesine, çalınmasına veya değiştirilmesine veya Paceart Optima sisteminin daha fazla ağ penetrasyonu için kullanılmasına neden olabilir. Bir DoS saldırısı, Paceart Optima sisteminin yavaşlamasına veya yanıt vermemesine neden olabilir.” söz konusu.

CISA, güvenlik açığının CVSS v3 taban puanı 9.8 olan CVE-2023-31222 olarak izlendiğini söyledi.

Medtronic, sorunları çözmek için Paceart Optima sistemi kullanıcılarının ürünlerini v1.12’ye güncellemelerini önerir.

Şirket ayrıca, ürünün uygulama sunucusunda Paceart Mesajlaşma Hizmetini manuel olarak devre dışı bırakmak ve uygulama sunucusunda mesaj kuyruğunu manuel olarak devre dışı bırakmak da dahil olmak üzere, kullanıcıların uygulayabileceği acil hafifletme önlemleri önerdi.

Medtronic, “Paceart Mesajlaşma Hizmeti devre dışı kaldığı sürece, güvenlik açığı azaltılmaya devam edecek” dedi.





Source link