パスワードを忘れた? アカウント作成
13744403 story
医療

植込み型心臓電気生理学デバイス用プログラマーにリモートから患者を攻撃可能な脆弱性 11

ストーリー by hylom
隠れた脆弱性が多そうな分野 部門より
headless曰く、

Medtronic製の植込み型心臓電気生理学デバイス(CIED)用プログラマーのソフトウェアアップデート機能で、リモートから患者を攻撃可能な脆弱性が見つかったそうだ(セキュリティ情報PDFFDAの発表RegisterSoftpedia)。

対象となるプログラマーはCareLink 2090とCareLink 29901で、脆弱性が見つかったのは同社のソフトウェア配布ネットワーク(SDN)からインターネット経由でアップデートする機能だ。Medtronicは当初、外部からの脆弱性報告を受けてセキュリティ情報を2月に公開し、6月にも更新情報を公開していた。この段階では特定のファイルを定期的にチェックするだけで対応可能と考えられていたようだ。しかし、米食品医薬品局(FDA)とともに脆弱性を精査した結果、脆弱性を悪用することでリモートから患者に危害を加えることが可能なことが判明したという。

Medtronicは対策としてインターネット経由のアップデート配布を無効化しており、アップデートが必要な場合は同社の担当者がUSB経由でインストールする。脆弱性自体を修正するアップデートは現在のところ開発されていないようだ。CIEDのプログラム設定にネットワーク接続は必要なく、そのほかのネットワーク接続が必要な機能は今回の脆弱性の影響を受けないとのことだ。

  • 対象デバイスの表記揺れが気になります。

    Medtronic、FDA、Softpedia:「2090」「29901」
    Register:「2090」「2091」 ← 恐らくミス
    スラド:「2090」「20091」 ← 恐らくミス

    伝言ゲームのようだな。
    ここに返信
  • とかなるんでしょうか

    ここに返信
    • by Anonymous Coward

      「奴はとんでもないものを盗んでいきました」

  • by Anonymous Coward on 2018年10月15日 20時06分 (#3498224)

    ストーリーのCERTの内容 [us-cert.gov]を読むと、IP VPN経由でSDNサーバーにアクセスしてるからサーバーだけ注意すれば大丈夫だろうという判断だったけど、
    実際はVPNが途中で落ちても気づかないで偽SDNサーバーからHTTPでファイルを拾っちゃうバグ持ちだったので危険性UPという事ですね。

    要は、VPN張って何かするシェルスクリプトで、普通に手順並べて書いちゃったら落とし穴にはまるバグ。
    途中でVPNが死だ時に、適切なハンドリングしているかと考えるとヤバイケース多いのでは。
    最後にチェックだけだと、OSとがリトライしていてなんてパターンも考えられるし。

    # 難しいね

    ここに返信
  • by Anonymous Coward on 2018年10月15日 21時29分 (#3498270)

    命に係わる機器でインターネットに接続できる場合、ソフトウェアに脆弱性がないことを期待すべきではない。
    インターネットにつながらないようにするか、ソフトウェアに問題があっても命に係わる挙動を許さないセーフティを設けるべき。

    例えばエアコンがネットにつながった場合、外部から夏に暖房で高温にする指令が来たとしても、ハードウェアやネットとは隔離されたファームウェアでガードをかけるべき。
    そうでないと、IoT殺人事件が発生する可能性がある。
    睡眠薬で寝ている老人を熱中症で殺すとか、逆に冬に暖房を止めて殺すとか。

    ここに返信
  • by Anonymous Coward on 2018年10月16日 11時20分 (#3498498)

    (スラドだから読み違いの心配はないだろうが、一般人多いサイトだと違った反応が期待できたところだな)

    ここに返信
    • by Anonymous Coward

      このジャンルでプログラマーと言えば、
      PCのディスク上とかにあるデバイス用バイナリを、デバイスに書き込むための仕組みですね。
      片方がUSBもう片方がJTAGを話すケーブルと、書き込み用ソフトウェアとか。

  • by Anonymous Coward on 2018年10月16日 11時33分 (#3498504)

    プログラマブル・ルーンライター(デバイスに登録されている魔法の術式を変更できる端末)の略称だっけ

    ここに返信
  • by Anonymous Coward on 2018年10月16日 18時29分 (#3498770)

    OSは何を使ってるんだい?

    ここに返信
typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...