BDU:2018-00982

Опубликовано: 07 авг. 2018

Источник: fstec

CVSS3: 6.5

CVSS2: 6.1

EPSS Низкий

Описание

Уязвимость инсулиновых помп Medtronic MiniMed 508, 522, 523, 523K, 551, 722, 723, 723K и 751 связана с недостатками механизма аутентификации. Эксплуатация уязвимости может позволить нарушителю обойти процедуру аутентификации путем выполнения перехваченного запроса

Вендор

Medtronic

Наименование ПО

MiniMed 508

MiniMed 522

MiniMed 523

MiniMed 523K

MiniMed 551

MiniMed 722

MiniMed 723

MiniMed 723K

MiniMed 751

Версия ПО

- (MiniMed 508)

- (MiniMed 522)

- (MiniMed 523)

- (MiniMed 523K)

- (MiniMed 551)

- (MiniMed 722)

- (MiniMed 723)

- (MiniMed 723K)

- (MiniMed 751)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,1)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- иcпользование систем обнаружения и предотвращения вторжений для отслеживания индикаторов компрометации;

- ограничение доступа из общедоступных сетей (Интернет);

- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

https://www.securitylab.ru/news/494960.php

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-14781
CVE

EPSS

Процентиль: 55%

0.00321

Низкий

6.5 Medium

CVSS3

6.1 Medium

CVSS2

Связанные уязвимости

CVE-2018-14781

CVSS3: 5.3

nvd

больше 7 лет назад

Medtronic MiniMed MMT devices when paired with a remote controller and having the “easy bolus” and “remote bolus” options enabled (non-default), are vulnerable to a capture-replay attack. An attacker can capture the wireless transmissions between the remote controller and the pump and replay them to cause an insulin (bolus) delivery.

GHSA-cv4q-4xgp-cr7m

CVSS3: 5.3

github

больше 3 лет назад

Medtronic MMT 508 MiniMed insulin pump, 522 / MMT - 722 Paradigm REAL-TIME, 523 / MMT - 723 Paradigm Revel, 523K / MMT - 723K Paradigm Revel, and 551 / MMT - 751 MiniMed 530G The models identified above, when paired with a remote controller and having the "easy bolus" and "remote bolus" options enabled (non-default), are vulnerable to a capture-replay attack. An attacker can capture the wireless transmissions between the remote controller and the pump and replay them to cause an insulin (bolus) delivery.

EPSS

Процентиль: 55%

0.00321

Низкий

6.5 Medium

CVSS3

6.1 Medium

CVSS2