Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Medtronic MyCareLink Smart

Múltiples vulnerabilidades en Medtronic MyCareLink Smart

Fecha de publicación: 
11/12/2020
Importancia: 
4 - Alta
Recursos afectados: 

MyCareLink (MCL) Smart Model 25000 Patient Reader, todas las versiones.

Descripción: 

Diversos investigadores han notificado a Medtronic 3 vulnerabilidades de severidad alta, de tipo autenticación inadecuada, desbordamiento de búfer basado en memoria dinámica (heap) y condición de carrera TOCTOU.

Solución: 
  • Acceder a la tienda de aplicaciones móviles asociada y actualizar MyCareLink Smartapp a la versión firmware 5.2.
  • Actualizar la versión del sistema operativo del dispositivo móvil a iOS 10 o superior, o Android 6.0 o superior.
Detalle: 
  • La vulnerabilidad de autenticación inadecuada por omisión, que radica en el protocolo de autenticación entre MCL Smart Patient Reader y la app móvil MyCareLink Smart, podría permitir a un atacante realizar un spoofing contra el MCL Smart Patient Reader dentro del rango de alcance de la comunicación Bluetooth. Se ha asignado el identificador CVE-2020-25183 para esta vulnerabilidad.
  • La vulnerabilidad de desbordamiento de búfer basado en memoria dinámica podría permitir a un atacante ejecutar código de forma remota en MCL Smart Patient Reader, pudiendo resultar en el control del dispositivo. Se ha asignado el identificador CVE-2020-25187 para esta vulnerabilidad.
  • La vulnerabilidad de condición de carrera TOCTOU afecta al sistema de actualización del software MCL Smart Patient Reader y podría permitir a un atacante cargar y ejecutar firmware sin firmar, dando lugar a la ejecución remota de código y el control del dispositivo. Se ha asignado el identificador CVE-2020-27252 para esta vulnerabilidad.

Encuesta valoración