Bộ Thông tin và Truyền thông MINISTRY OF INFORMATION AND COMMUNICATIONS

Các lỗ hổng cho phép tin tặc điều khiển thiết bị trợ tim

Các lỗ hổng được phát hiện trong sản phẩm theo dõi bệnh nhân MyCareLink Smart 25000 của Medtronic có thể bị khai thác để kiểm soát thiết bị về tim mạch.

Được thiết kế để nhận thông tin từ thiết bị trợ tim cắm trên cơ thể bệnh nhân, MCL Smart Patient Reader có thể gửi dữ liệu tới mạng của Medtronic CareLink, giúp thuận tiện trong việc quản lý sức khỏe thông qua thiết bị di động của người bệnh.

Ba lỗ hổng được các nhà nghiên cứu của công ty Sternum, một công ty chuyên về bảo mật IoT, phát hiện ra trong MCL Smart Model 25000 Patient Reader. Lỗ hổng có thể bị khai thác để sửa đổi hoặc ngụy tạo dữ liệu được truyền từ thiết bị bệnh nhân đang sử dụng tới mạng CareLink.

Hơn nữa, chúng có thể cho phép những kẻ tấn công thực thi mã từ xa trên MCL Smart Patient Reader, nắm giữ việc kiểm soát thiết bị trợ tim được ghép nối. Tuy nhiên, việc khai thác các lỗ hổng đòi hỏi kẻ tấn công phải trong phạm vi bluetooth của sản phẩm có lỗ hổng.

Lỗ hổng đầu tiên có số hiệu CVE-2020-25183, điểm CVSS là 8.0, cho phép kẻ tấn công vượt qua phương pháp được sử dụng để xác thực giữa ứng dụng di động Medtronic MyCareLink Smart với MCL Smart Patient Reader.

Theo CISA: "Lỗ hổng này cho phép kẻ tấn công sử dụng thiết bị di động khác hoặc ứng dụng có chứa mã độc trên smartphone của nạn nhân để xác thực Medtronic Smart Reader của bệnh nhân, đánh lừa thiết bị tin rằng nó đang giao tiếp với ứng dụng điện thoại thông minh Medtronic ban đầu khi thực thi trong phạm vi giao tiếp Bluetooth".

Lỗ hổng thứ hai có số hiệu CVE-2020-25187, có số điểm CVSS là 8,8. Lỗ hổng này được kích hoạt khi kẻ tấn công đã xác thực chạy lệnh debug (kiếm ra lỗi hay nguyên nhân gây ra lỗi) tới thiết bị của bệnh nhân. Điều này có thể gây ra lỗi tràn đống, dẫn đến thực thi mã từ xa, có nguy cơ khiến cho kẻ tấn công kiểm soát thiết bị.

Lỗ hổng thứ ba là CVE-2020-27252, cũng có số điểm CVSS là 8,8. Lỗ hổng có thể bị lợi dụng để tải lên và thực thi firmware chưa được ký trên Patient Reader. Điều này cho phép kẻ tấn công có thể thực thi mã từ xa, từ đó chiếm quyền kiểm soát thiết bị.

Medtronic đã phát hành bản cập nhật để xử lý các lỗ hổng và nó có thể được áp dụng trên ứng dụng MyCareLink Smart thông qua kho ứng dụng di động đã liên kết. Việc cập nhật ứng dụng (từ phiên bản 5.2.0 trở lên) cũng đảm bảo rằng Patient Reader được tự động cập nhật trong lần sử dụng tiếp theo. Công ty đã công bố chi tiết các bước về cách áp dụng bản cập nhật.

Ngoài ra, Medtronic đã triển khai công nghệ xác thực tính toàn vẹn nâng cao (EIV) của Sternum và hệ thống phát hiện tiên tiến cho phép phát hiện các lỗ hổng và giám sát hoạt động bất thường của thiết bị.

Medtronic giải thích: "Cho đến nay, không có cuộc tấn công mạng hay sự truy nhập trái phép nào tới dữ liệu bệnh nhân cũng như không có sự gây hại cho bệnh nhân từ những lỗ hổng này".