Een kritieke kwetsbaarheid in een systeem dat ziekenhuizen gebruiken voor het verzamelen van gegevens van pacemakers en andere hartimplantaten maakt het mogelijk voor een aanvaller om verzamelde data te verwijderen, stelen of aan te passen en verdere aanvallen tegen het ziekenhuisnetwerk uit te voeren. Daarvoor waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.

Het beveiligingslek (CVE-2023-31222) bevindt zich in het Medtronic Paceart Optima System, waarmee ziekenhuizen gegevens van de pacemakers en hartimplantaten van patiënten kunnen uitlezen. Het systeem gaat niet goed om met gebruikersinvoer waardoor in het ergste geval remote code execution mogelijk is. Een aanvaller kan zo verzamelde gegevens stelen, verwijderen of manipuleren. Daarnaast zijn verdere aanvallen tegen het ziekenhuisnetwerk mogelijk.

De kwetsbaarheid bevindt zich in de Paceart Messaging Service, die niet standaard staat ingeschakeld. Wanneer dit wel het geval is kan een aanvaller door het versturen van een speciaal geprepareerd bericht zijn code op het systeem uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Medtronic heeft een update uitgebracht die de Paceart Messaging Service functie verwijdert en de kwetsbaarheid op de applicatieserver verhelpt.