Múltiples vulnerabilidades en marcapasos Accent/Anthem, Accent MRI, Assurity/Allure, y Assurity MRI de Laboratorios Abbott

Fecha de publicación: 
30/08/2017
Importancia: 
4 - Alta
Recursos afectados: 

Los siguientes marcapasos fabricados con fecha anterior al 28 de agosto de 2017:

  • Accent/Anthem
  • Accent MRI
  • Assurity/Allure
  • Assurity MRI
Descripción: 

MedSec Holdings Ltd ha identificado varias vulnerabilidades que afectan a los marcapasos de los Laboratorios Abbott. La explotación de estas vulnerabilidades podría permitir a un atacante obtener acceso no autorizado al marcapasos, ejecutar comandos, cambiar la configuración o interferir de cualquier otra manera con la función prevista del marcapasos.

Solución: 

Laboratorios Abbott ha desarrollado una actualización de firmware para mitigar las vulnerabilidades identificadas. Los números de versión de la actualización de firmware para cada familia de productos son los siguientes:

  • Accent/Anthem, Versión F0B.0E.7E
  • Accent MRI/Accent ST, Versión F10.08.6C
  • Assurity/Allure, Versión F14.07.80
  • Assurity MRI, Versión F17.01.49

La actualización debe hacerse de manera presencial con el proveedor del marcapasos. Para obtener más información, consultar el siguiente enlace: Cybersecurity Update

Detalle: 
  • Autenticación incorrecta: El algoritmo de autenticación del marcapasos, que incluye una clave de autenticación y una marca de tiempo, puede verse comprometido o anulado, lo que puede permitir que un atacante cercano envíe comandos no autorizados al marcapasos a través de comunicaciones de Radio Frecuencia (RF). Se ha reservado el identificador CVE-2017-12712 para esta vulnerabilidad.
  • Restricción inadecuada del consumo de energía: los marcapasos no restringen ni limitan el número de comandos correctamente formateados de "reactivación de RF" que pueden recibirse, lo que puede permitir que un atacante cercano envíe repetidamente órdenes para reducir la duración de la batería del marcapasos. Se ha reservado el identificador CVE-2017-12714 para esta vulnerabilidad.

  • Ausencia de cifrado de datos sensibles: los marcapasos Accent y Anthem transmiten información del paciente sin cifrar a través de comunicaciones RF a programadores y unidades de monitoreo en el hogar. Los marcapasos Assurity y Allure no contienen esta vulnerabilidad. Además, los marcapasos Accent y Anthem almacenan la información opcional del paciente sin cifrado. Sin embargo, los marcapasos Assurity y Allure cifran la información del paciente almacenada. Se ha reservado el identificador CVE-2017-12716 para esta vulnerabilidad.

Estas vulnerabilidades podrían ser explotadas a través de una red adyacente. La explotación depende de que un atacante esté lo suficientemente cerca del marcapasos objetivo como para permitir las comunicaciones de RF.