Introducció
Medtronic ha reportat al CISA [1] avís de vulnerabilitat crítica l’explotació de la qual podria resultar en l’execució remota de codi o una condició de denegació de servei, afectant el sistema Paceart Optima.
Anàlisi
Aquesta vulnerabilitat afecta la versió 1.11 i anteriors.
CVE-2023-31222: Si s’habilita el servei de missatgeria Paceart, un usuari no autoritzat podria aprofitar aquesta vulnerabilitat per fer una execució remota de codi i/o atacs de denegació de servei (DoS) mitjançant l’enviament de missatges especialment dissenyats al Paceart Optima system. L’execució remota de codi podria provocar l’eliminació, el robatori o la modificació de les dades del dispositiu cardíac del sistema, o ser utilitzat per a una penetració més gran de la xarxa.
Recomanacions
Medtronic recomana a tots els usuaris afectats que actualitzin els seus productes a l’últim partxe. Aquesta vulnerabilitat es va corregir a la versió 1.12.
Així mateix, ha proporcionat algunes mitigacions immediates que els usuaris poden aplicar per reduir el risc, com ara deshabilitar manualment el servei de missatgeria del sistema Paceart.
Referències
[1] Medtronic Paceart Optima System