„Setki tysięcy ludzi” ma się zgłosić do serwisu. US CERT wydał ostrzeżenie – można im nadpisać pamięć.

To nie jakiś news z przyszłości, a sprawa dotycząca wszczepianych urządzeń mających regulować pracę serca firmy Medtronic (podatnych jest aż kilkanaście linii urządzeń, szacunki liczby podatnych urządzeń mówią o 750 000). Podatność CVE-2019-6538, krytyczność 9.3/10 (AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H) umożliwia m.in. bezprzewodową (z bliskiej odległości – choć tą „bliskość” – z odpowiednim wzmocnieniem szacujemy na kilkadziesiąt metrów) zmianę pamięci wszczepionego urządzenia:

The Conexus telemetry protocol utilized within this ecosystem does not implement authentication or authorization. An attacker with adjacent short-range access to an affected product, in situations where the product’s radio is turned on, can inject, replay, modify, and/or intercept data within the telemetry communication. This communication protocol provides the ability to read and write memory values to affected implanted cardiac devices; therefore, an attacker could exploit this communication protocol to change memory in the implanted cardiac device.

Zauważmy, że atak nie wymaga jakiś specjalnych nakładów czy możliwości (US CERT oznaczył go jako 'low complexity’). Jeśli chodzi o wspominaną „zmianę pamięci” – chodzi tutaj prawdopodobnie o coś rzeczywiście groźnego czyli po prostu wgranie firmware kontrolowanego przez atakującego. Sam protokół kontrolny (i zapewniający telemetrię), nie zapewnia uwierzytelnienia, sprawdzenia uprawnień, nie jest też szyfrowany. Co gorsza można zaatakować również sam programator (który z backdoorem mógłby infekować kolejne „urządzenia klienckie”).

Kiedy atak może być wykonany? W momencie gdy urządzenie ma włączoną transmisję radiową, a ta (cytując Arstechnicę) – włączana jest w trakcie przeglądu, ale także czasem 'sama z siebie’ przez urządzenia:

For the attacks to succeed, defibrillators must be in a radio-frequency listen mode. Implanted devices go into this state when doctors are setting up or providing maintenance and when patients perform regular check-ins using the Carelink device. Periodically, the implanted devices enter this state on their own so they can check in with the Carelink monitor. The researchers said they didn’t actively exploit the automatic listen mode, but they have confirmed it as a viable attack path.

Sam producent uspokaja, że nie ma dowodów na to że taki atak został przeprowadzony na realnym pacjencie, a atak wymaga sporej wiedzy. Przy okazji warto zastanowić się nad promowanym przez niektórych myśleniem – „nikt nie widział takiego ataku w rzeczywistości, więc po co się przejmować tematem, to niepraktyczne.” Co ciekawe aktualizacje dopiero się pojawią, a US CERT wskazuje konkretne kroki ograniczające ryzyko, a to już kolejna akcja dotycząca tego samego producenta.

–ms