Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

„Setki tysięcy ludzi” ma się zgłosić do serwisu. US CERT wydał ostrzeżenie – można im nadpisać pamięć.

28 marca 2019, 09:46 | W biegu | komentarzy 7

To nie jakiś news z przyszłości, a sprawa dotycząca wszczepianych urządzeń mających regulować pracę serca firmy Medtronic (podatnych jest aż kilkanaście linii urządzeń, szacunki liczby podatnych urządzeń mówią o 750 000). Podatność CVE-2019-6538, krytyczność 9.3/10 (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H) umożliwia m.in. bezprzewodową (z bliskiej odległości – choć tą „bliskość” – z odpowiednim wzmocnieniem szacujemy na kilkadziesiąt metrów) zmianę pamięci wszczepionego urządzenia:

The Conexus telemetry protocol utilized within this ecosystem does not implement authentication or authorization. An attacker with adjacent short-range access to an affected product, in situations where the product’s radio is turned on, can inject, replay, modify, and/or intercept data within the telemetry communication. This communication protocol provides the ability to read and write memory values to affected implanted cardiac devices; therefore, an attacker could exploit this communication protocol to change memory in the implanted cardiac device.

Zauważmy, że atak nie wymaga jakiś specjalnych nakładów czy możliwości (US CERT oznaczył go jako 'low complexity’). Jeśli chodzi o wspominaną „zmianę pamięci” – chodzi tutaj prawdopodobnie o coś rzeczywiście groźnego czyli po prostu wgranie firmware kontrolowanego przez atakującego. Sam protokół kontrolny (i zapewniający telemetrię), nie zapewnia uwierzytelnienia, sprawdzenia uprawnień, nie jest też szyfrowany. Co gorsza można zaatakować również sam programator (który z backdoorem mógłby infekować kolejne „urządzenia klienckie”).

Kiedy atak może być wykonany? W momencie gdy urządzenie ma włączoną transmisję radiową, a ta (cytując Arstechnicę) – włączana jest w trakcie przeglądu, ale także czasem 'sama z siebie’ przez urządzenia:

For the attacks to succeed, defibrillators must be in a radio-frequency listen mode. Implanted devices go into this state when doctors are setting up or providing maintenance and when patients perform regular check-ins using the Carelink device. Periodically, the implanted devices enter this state on their own so they can check in with the Carelink monitor. The researchers said they didn’t actively exploit the automatic listen mode, but they have confirmed it as a viable attack path.

Sam producent uspokaja, że nie ma dowodów na to że taki atak został przeprowadzony na realnym pacjencie, a atak wymaga sporej wiedzy. Przy okazji warto zastanowić się nad promowanym przez niektórych myśleniem – „nikt nie widział takiego ataku w rzeczywistości, więc po co się przejmować tematem, to niepraktyczne.” Co ciekawe aktualizacje dopiero się pojawią, a US CERT wskazuje konkretne kroki ograniczające ryzyko, a to już kolejna akcja dotycząca tego samego producenta.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. mazdac

    Popyt na koszulki z folii aluminiowej i aluminiowe biustonosze wzrasta :D

    Odpowiedz
  2. wk

    Swoją drogą ciekawe jak wygląda bezpieczeństwo „rozruszników mózgu”, używanych przez np. chorych na Parkinsona

    Odpowiedz
    • cieżko powiedzieć, choć pokusa nie dodawania bezpieczeństwa („szyfrowanie pożera cenne baterie”) jest spora

      Odpowiedz
  3. SuperTux

    Nie no, sprawa ciekawa (i straszna) ale po tytule to pomyślałem że to wcześniejszy żart prima aprilisowy. Naprawdę starajcie się robić bardziej adekwatne do treści tytuły, np. tutaj bym proponował „Setki tysięcy ludzi może paść ofiarą nadpisania pamięci wszczepialnych urządzeń medycznych – ostrzeżenie US CERT”.

    Odpowiedz
    • Hej, chyba nikt nie pomyślał że nadpisujesz komuś neurony ;) A taki tytuł jak mamy jest intrygujący :)

      Odpowiedz
      • Dominik

        Jednak pomimo że jest intrygujący to przychylam się do prośby SuperTux.

        Odpowiedz
  4. Jan

    To nie wina producenta. To wina przepisow. Kazde urzadzenie wprowadzone na rynek powinno byc przebadane pod kontem bezpieczenstwa przez odpowiednienorgany. Taki proces certyfikacji. Koszty pokrywa producent. Inaczej chlam bedzie nasz zalewal i bezpieczenstwo bedzie tylko iluzja

    Odpowiedz

Odpowiedz