image

Kritiek lek in ziekenhuissysteem laat aanvaller pacemakergegevens wissen

woensdag 5 juli 2023, 10:03 door Redactie, 4 reacties

Een kritieke kwetsbaarheid in een systeem dat ziekenhuizen gebruiken voor het verzamelen van gegevens van pacemakers en andere hartimplantaten maakt het mogelijk voor een aanvaller om verzamelde data te verwijderen, stelen of aan te passen en verdere aanvallen tegen het ziekenhuisnetwerk uit te voeren. Daarvoor waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.

Het beveiligingslek (CVE-2023-31222) bevindt zich in het Medtronic Paceart Optima System, waarmee ziekenhuizen gegevens van de pacemakers en hartimplantaten van patiënten kunnen uitlezen. Het systeem gaat niet goed om met gebruikersinvoer waardoor in het ergste geval remote code execution mogelijk is. Een aanvaller kan zo verzamelde gegevens stelen, verwijderen of manipuleren. Daarnaast zijn verdere aanvallen tegen het ziekenhuisnetwerk mogelijk.

De kwetsbaarheid bevindt zich in de Paceart Messaging Service, die niet standaard staat ingeschakeld. Wanneer dit wel het geval is kan een aanvaller door het versturen van een speciaal geprepareerd bericht zijn code op het systeem uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Medtronic heeft een update uitgebracht die de Paceart Messaging Service functie verwijdert en de kwetsbaarheid op de applicatieserver verhelpt.

Image

Reacties (4)
05-07-2023, 12:09 door Anoniem
Zulke "aanvallen" horen natuurlijk strafbaar te zijn.

Het leveren van zulke software ook.
05-07-2023, 15:55 door DLans
Door Anoniem: Zulke "aanvallen" horen natuurlijk strafbaar te zijn.

Het leveren van zulke software ook.

Aanvallen op computers zijn ook strafbaar. En software ontwikkeling is nooit 100% vrij van bugs of kwetsbaarheden, hoe goed men hun best ook doet.
05-07-2023, 19:43 door karma4 - Bijgewerkt: 05-07-2023, 19:43
Door Anoniem: Zulke "aanvallen" horen natuurlijk strafbaar te zijn.

Het leveren van zulke software ook.
Gewoon geen pacemaker gebruiken niet van gezondheidszorg.
Je zult geen lat van datlekken of niet feilloze software hebben.
Het is vrije keus uit vele opties.
05-07-2023, 20:56 door Anoniem
En de politiek/EC wil de gezindheidsdata van alle burgers nog breder delen, met organisaties die hun veiligheid niet goed op orde hebben.

Begin daar eerst een mee.
En ja, dat is misschien een onhaalbaar doel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.