Mise à jour de sécurité Medtronic

Toutes les mises à jour de sécurités publiées et les failles annoncées
Reprise notamment des publications du CERT-FR (ANSSI)
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 3767
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Mise à jour de sécurité Medtronic

Message par charles » 28 juin 2018 20:48

Des vulnérabilités ont été corrigées pour les moniteurs patients Medtronic suivants :

24950 MyCareLink Monitor
24952 MyCareLink Monitor

https://ics-cert.us-cert.gov/advisories/ICSMA-18-179-01

Avatar du membre
charles
Administrateur du site
Messages : 3767
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité Medtronic

Message par charles » 12 juil. 2018 13:41

Une mise à jour de sécurité pour les Stimulateurs Cardiaques Implantables - Percepta CRT-P MRI Surescan et Percepta Quad CRT-P MRI SureScan - Medtronic a été publiée le 09/07/2018 :

http://ansm.sante.fr/content/download/1 ... tronic.pdf

Avatar du membre
charles
Administrateur du site
Messages : 3767
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité Medtronic

Message par charles » 08 août 2018 08:51

Des mises à jour de sécurité ont été publiées pour les DM Medtronic suivants :

- Moniteurs cardiaque patients :

24950 MyCareLink Monitor, all versions,
24952 MyCareLink Monitor, all versions.

https://ics-cert.us-cert.gov/advisories/ICSMA-18-219-01

Des vulnérabilités ont été découvertes dans le système de transmission sans fil des pompes à insulines Minimed et Paradigm et leurs télécommandes respectives :

- Pompes à insuline concernées :

MMT - 508 MiniMed insulin pump,
MMT - 522 / MMT - 722 Paradigm REAL-TIME,
MMT - 523 / MMT - 723 Paradigm Revel,
MMT - 523K / MMT - 723K Paradigm Revel, and
MMT - 551 / MMT - 751 MiniMed 530G

https://ics-cert.us-cert.gov/advisories/ICSMA-18-219-02
https://www.ansm.sante.fr/content/downl ... tronic.pdf

Avatar du membre
charles
Administrateur du site
Messages : 3767
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité Medtronic

Message par charles » 12 oct. 2018 15:41

Medtronic a publié un correctif de sécurité pour le système de radiologie interventionnelle - O-arm® 1000 :

https://www.ansm.sante.fr/content/downl ... tronic.pdf

Avatar du membre
charles
Administrateur du site
Messages : 3767
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité Medtronic

Message par charles » 18 oct. 2018 13:20

La FDA a publié le 11/10/2018 un avertissement relatif aux vulnérabilités constatées dans les programmeurs de stimulateurs cardiaques CareLink et CareLink Encore Programmers, modèles 2090 et 29901de la société Medtronic.

Alors qu'un réseau privé virtuel (VPN) est utilisé pour établir une connexion entre les programmeurs et le SDN Medtronic, aucune vérification n'est effectuée pour déterminer si le programmeur est toujours connecté au VPN avant le téléchargement des mises à jour logicielles. Cela donnerait à un attaquant la possibilité d'installer ses propres mises à jour et de modifier les fonctionnalités des appareils.

La FDA a approuvé le 5/10/2018 le correctif réalisé par Medtronic qui empêche les mises à jour depuis Internet. Les mises à jours devront être réalisées manuellement par des techniciens de Medtronic, via USB.

https://www.fda.gov/MedicalDevices/Safe ... 623184.htm

Avatar du membre
charles
Administrateur du site
Messages : 3767
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité Medtronic

Message par charles » 18 déc. 2018 01:32

L'ICS CERT a publié un bulletin indiquant que les programmateurs de stimulateurs cardiaque Medtronic 9790, 2090 CareLink, et 29901 Encore Programmers présentent une vulnérabilité portant atteinte à la confidentialité des données de santé à caractère personnel stockées sans solution de chiffrement sur les programmateurs.

Il n'y aura apparemment pas de correctifs de sécurité,et le constructeur préconise de ne plus utiliser les programmateurs 9790 qui sont en fin de vie, de supprimer les données le plus fréquemment possible sur les appareils (données qui ne doivent probablement pas être écrasées, mais simplement "désindexées") et maintenir un contrôle physique strict du programmateur.

Pour résumer, débrouillez vous et faites pour le mieux...

https://ics-cert.us-cert.gov/advisories/ICSMA-18-347-01

Avatar du membre
charles
Administrateur du site
Messages : 3767
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité Medtronic

Message par charles » 02 juil. 2019 11:34

L'ICS CERT a publié le 27/06/2019 un rapport relatif à une vulnérabilité affectant les modèles de pompe à insuline Medtronic suivants :

MiniMed 508 pump – All versions
MiniMed Paradigm 511 pump – All versions
MiniMed Paradigm 512/712 pumps – All versions
MiniMed Paradigm 712E pump – All versions
MiniMed Paradigm 515/715 pumps – All versions
MiniMed Paradigm 522/722 pumps – All versions
MiniMed Paradigm 522K/722K pumps – All versions
MiniMed Paradigm 523/723 pumps – Software versions 2.4A or lower
MiniMed Paradigm 523K/723K pumps – Software versions 2.4A or lower
MiniMed Paradigm Veo 554/754 pumps – Software versions 2.6A or lower
MiniMed Paradigm Veo 554CM and 754CM models only – Software versions 2.7A or lower

L'exploitation réussie de cette vulnérabilité peut permettre à un attaquant ayant un accès adjacent à l'un des produits affectés d'intercepter, de modifier ou d'interférer avec les communications radiofréquence vers ou depuis le produit. Cela peut permettre aux attaquants de lire des données sensibles, de modifier les paramètres de la pompe ou de contrôler l'administration d'insuline.

Solution proposée par le fabricant : acheter un modèle plus récent :oops:

https://www.us-cert.gov/ics/advisories/icsma-19-178-01

Répondre

Retourner vers « Alertes de sécurité - Mises à jour et failles »