Пациентам с кардиостимуляторами производства Abbott – ранее St. Jude Medical’s – рекомендуется обратиться к своим врачам и узнать о наличии обновлений безопасности для их имплантированных медицинских устройств.
Обновление безопасности зафиксирует три уязвимости обнаружены в прошлом году MedSec Holdings Ltd .. Недостатки детализированы в предупреждение системы безопасности , выданного Департаментом CERT команды внутренней безопасности.
Недостатки нелегко использовать
US CERT заявляет, что эти недостатки позволяют злоумышленникам получить доступ к кардиостимулятору и выдавать команды, изменять настройки или иным образом вмешиваться в предполагаемую работу кардиостимулятора.
Несмотря на ужасные последствия, эксперты US CERT говорят, что атаки нелегко осуществить, поскольку нет общедоступного кода эксплойта, который помог бы злоумышленникам разрабатывать свои собственные пакеты атак, а эксплуатация требует высокого уровня навыков, которыми обладают очень немногие программисты.
Кроме того, злоумышленники должны находиться достаточно близко (в нескольких дюймах) от кардиостимулятора цели, чтобы обеспечить возможность радиочастотной связи.
Недостатки были обнаружены MedSec, компанией, с которой очень хорошо знакома Abbott. В сентябре 2016 года Abbott подала в суд на MedSec и другую охранную компанию Muddy Waters, заявив, что обе компании организовали медийный трюк из-за уязвимостей в ее кардиостимуляторах. Эти недостатки, подробно описанные здесь , в конечном итоге были исправлены в январе 2017 года.
Недавние уязвимости, обнаруженные MedSec, также были исправлены примерно в то же время, но Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США (FDA) только вчера одобрило патчи для программного обеспечения кардиостимулятора для публичного выпуска.
Пациентов призвали обращаться к врачам
FDA и Abbott теперь поощряют пациентов обращаться к врачам и узнавать об их брендах кардиостимуляторов и о том, нужно ли им планировать сеансы для получения обновления безопасности.
Abbott выпустила руководства как для врачей, так и для пациентов . По данным FDA, это влияет на следующие кардиостимуляторы:
Accent
Anthem
Accent МРТ
Accent ST
Assurity
Allure
По оценкам Abbott, врачам потребуется около трех минут, чтобы установить обновление, поместив радиочастотную палочку над кардиостимулятором. Сценарии наихудшего случая включают:
– перезагрузка предыдущей версии прошивки из-за неполного обновления
(0,161%)
– потеря текущих запрограммированных настроек устройства (0,023%)
– полная потеря функциональности устройства (0,003%)
– потеря диагностических данных (не сообщается).
Abbott, US CERT и FDA заявили, что об атаках с использованием уязвимостей MedSec не сообщалось и не обнаруживалось. По данным FDA, в США установлено около 465 000 кардиостимуляторов, подверженных обнаруженным уязвимостям.
По материалам: https://socamp.ru/