Mikrokontroler respiratora nie posiada mechanizmów ochrony pamięci, co umożliwia atakującemu fizyczny dostęp do wewnętrznego interfejsu JTAG i manipulację pamięcią flash urządzenia. Podatność jest szczególnie niebezpieczna ze względu na krytyczne zastosowanie medyczne urządzenia — zakłócenie jego działania może stanowić bezpośrednie zagrożenie dla życia pacjenta.
▸ Pokaż oryginał (EN)
The ventilator's microcontroller lacks memory protection. An attacker could connect to the internal JTAG interface and read or write to flash memory using an off-the-shelf debugging tool, which could disrupt the function of the device and/or cause unauthorized information disclosure.
Atakujący z fizycznym dostępem do urządzenia może podłączyć się do wewnętrznego interfejsu JTAG za pomocą powszechnie dostępnych narzędzi do debugowania. Ponieważ mikrokontroler respiratora nie implementuje ochrony pamięci (brak zabezpieczeń zgodnych z CWE-1191), możliwy jest odczyt oraz zapis do pamięci flash bez jakichkolwiek mechanizmów uwierzytelnienia czy kontroli dostępu. Taki dostęp pozwala na modyfikację oprogramowania układowego (firmware) lub odczyt zapisanych danych.
Atakujący może zakłócić lub całkowicie wyłączyć funkcję respiratora, co stwarza bezpośrednie zagrożenie dla życia pacjenta, a także uzyskać nieautoryzowany dostęp do danych przechowywanych w pamięci urządzenia (nieuprawnione ujawnienie informacji).
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo, do czasu wdrożenia poprawek, zaleca się ograniczenie fizycznego dostępu do urządzeń wyłącznie do autoryzowanego personelu, wdrożenie kontroli dostępu fizycznego (np. zamknięte pomieszczenia, monitoring) oraz monitorowanie urządzeń pod kątem nieuprawnionej ingerencji sprzętowej. Szczegółowe zalecenia zawiera poradnik CISA ICSMA-24-319-01.
Respirator (wentylator mechaniczny) wskazany w poradniku CISA ICS-CERT ICSMA-24-319-01 — konkretne modele i wersje wskazane w referencjach producenta
Podatność dotyczy urządzenia medycznego klasy krytycznej (respirator/wentylator mechaniczny). Wektor ataku wymaga fizycznego dostępu do urządzenia (AV:L), jednak brak uwierzytelnienia (PR:N) i szeroki zakres skutków (S:C) uzasadniają ocenę CVSS 9.3. Poradnik bezpieczeństwa opublikowany przez CISA jako ICSMA-24-319-01 w dniu 14 listopada 2024 r.
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H