Medtronic azienda leader nel mondo per la tecnologia medica ha di recente pubblicato in un bollettino di sicurezza di aver provveduto a correggere delle vulnerabilità che riguardavano il protocollo proprietario di telemetria in radio frequenza (RF) Conexus utilizzato per
Trasmettere in remoto i dati (notifiche operative e di sicurezza) dal dispositivo cardiaco impiantato a una specifica centrale di monitoraggo.
Visualizzare, stampare le informazioni sul dispositivo in tempo reale.
Programmare le impostazioni dei dispositivi.
L’assenza nel protocollo di un meccanismo di autenticazione e di crittografia dei dati mettevano a rischio quei dispositivi medici appartenenti alla categoria di defribrillatori cardioverter impiantabili (ICD) e defribrillatori per la terapia di resincronizzazione cardiaca (CRT-D).
Identitificate come CVE-2019-6538 e CVE-2019-6540 queste vulnerabilità avrebbero potuto consentire a un individuo non autorizzato di accedere e potenzialmente modificare le impostazioni di uno di questi dispositivi.
Le correzioni, come si legge dal bollettino, sono state apportate anche se ad oggi non sono stati riscontrati attacchi informatici e violazione di privacy a danno dei pazienti.
Anche se un attaccante potenziale avrebbe potuto sfruttare queste vulnerabilità solo se in possesso di informazioni riservate sul funzionamento dei dispositivi medici e del relativo protocollo di telemetria wireless, Medtronic ha deciso di pianificare comunque degli aggiornamenti per escludere questa eventualità. Lo sfruttamento sarebbe stato anche di difficile attuazione perché:
Durante la procedura di impianto o di visite follow-up in loco, la telemetria deve essere attivata da un operatore sanitario che si trova nella stessa stanza del paziente.
Un individuo non autorizzato, per poter agire, dovrebbe essere particolarmente vicino a un dispositivo attivo. Il raggio di copertura di azione tipico tra un dispositivo attivo e un monitor o un programmatore è di circa 6 metri.
Con un altro avviso di sicurezza emanato nello stesso giorno, Medtronic ha comunicato che sono state sanate anche le vulnerabilità riscontrate sulla rete di distribuzione SDN attraverso la quale si effettua il download del software nuovo o aggiornato per i propri programmatori, riattivando l’accesso al servizio dall’esterno. Queste ulteriori bug avrebbero potuto consentire ad un attore non autorizzato estraneo di manomettere il download del software di aggiornamento dei programmatori, con tutte le conseguenze del caso.
Riferimenti CISA (Cybersecurity and Infrastructure Security Agency)
ICSMA-19-080-01
ICSMA-18-058-01
