Podatność dotyczy respiratora, w którym port diagnostyczny (debug) na interfejsie szeregowym jest domyślnie włączony i niezaszyfrowany. Umożliwia to atakującemu z dostępem fizycznym wysyłanie i odbieranie komunikatów, co może prowadzić do ujawnienia informacji lub niezamierzonych zmian ustawień urządzenia.
▸ Pokaż oryginał (EN)
The debug port on the ventilator's serial interface is enabled by default. This could allow an attacker to send and receive messages over the debug port (which are unencrypted; see 3.2.1) that result in unauthorized disclosure of information and/or have unintended impacts on device settings and performance.
Port debug na interfejsie szeregowym respiratora jest aktywny domyślnie i nie wymaga uwierzytelnienia. Komunikacja przez ten port odbywa się bez szyfrowania, co oznacza, że atakujący z fizycznym dostępem do urządzenia może swobodnie przechwytywać przesyłane dane oraz wysyłać własne polecenia. Skutkiem może być zarówno nieautoryzowany odczyt informacji diagnostycznych i konfiguracyjnych, jak i modyfikacja ustawień oraz zachowania urządzenia.
Atakujący może uzyskać nieuprawniony dostęp do informacji przesyłanych przez interfejs szeregowy oraz wpływać na ustawienia i działanie respiratora, co w środowisku medycznym może stwarzać bezpośrednie zagrożenie dla życia pacjenta.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się ograniczenie fizycznego dostępu do interfejsu szeregowego urządzenia oraz weryfikację, czy port debug może zostać wyłączony w konfiguracji urządzenia zgodnie z zaleceniami producenta opisanymi w poradniku CISA ICSMA-24-319-01.
Respirator (wentylator medyczny) wskazany w poradniku CISA ICS-CERT ICSMA-24-319-01 — szczegółowe wersje wskazane w referencjach producenta
Podatność dotyczy urządzenia medycznego klasy krytycznej (respirator/wentylator). Poradnik bezpieczeństwa został opublikowany przez CISA w ramach serii ICS-CERT Medical Advisory (ICSMA-24-319-01). Klasyfikacja CWE-1263 odnosi się do niewystarczającego fizycznego zabezpieczenia przed debugowaniem. Ocena CVSS 9.3 z wektorem lokalnym (AV:L) bez wymagania uprawnień (PR:N) i bez interakcji użytkownika (UI:N) przy pełnym zakresie oddziaływania (S:C) odzwierciedla krytyczny charakter podatności w kontekście bezpieczeństwa pacjentów.
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H