CRITICAL🇬🇧 English

CVE-2024-48967

Brak wystarczającego audit logging w respiratory medycznym i Service PC

CVSS 10.0v3.1pub. 2024-11-14upd. 2026-04-15

Respiratory (wentylatory medyczne) oraz powiązane z nimi komputery serwisowe (Service PC) nie posiadają wystarczających możliwości rejestrowania zdarzeń audytowych, co uniemożliwia wykrycie złośliwej aktywności. Podatność jest oceniana jako krytyczna (CVSS 10.0) ze względu na brak jakichkolwiek barier wykrywania nieautoryzowanych działań na urządzeniach podtrzymujących życie.

Pokaż oryginał (EN)

The ventilator and the Service PC lack sufficient audit logging capabilities to allow for detection of malicious activity and subsequent forensic examination. An attacker with access to the ventilator and/or the Service PC could, without detection, make unauthorized changes to ventilator settings that result in unauthorized disclosure of information and/or have unintended impacts on device performance.

🤖 Analiza AI
Jak działa

Ze względu na niewystarczający mechanizm audit logging (CWE-778), atakujący z dostępem fizycznym lub logicznym do respiratora bądź Service PC może dokonywać nieautoryzowanych zmian w ustawieniach urządzenia bez pozostawiania śladów w dziennikach systemowych. Brak odpowiednich logów uniemożliwia zarówno wykrycie incydentu w czasie rzeczywistym, jak i przeprowadzenie analizy powłamaniowej (forensic examination) po fakcie. Atakujący może tym samym działać przez długi czas bez świadomości personelu medycznego czy administratorów IT.

Skutki

Atakujący może dokonać nieautoryzowanych zmian w parametrach pracy respiratora, co może prowadzić do nieuprawnionego ujawnienia danych (np. danych pacjenta) oraz niezamierzonych wpływów na działanie urządzenia medycznego, potencjalnie zagrażając życiu pacjenta.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.cisa.gov/news-events/ics-medical-advisories/icsma-24-319-01). Dodatkowo zaleca się ograniczenie fizycznego i logicznego dostępu do respiratorów oraz Service PC wyłącznie do autoryzowanego personelu, a także wdrożenie kompensujących mechanizmów monitorowania na poziomie sieci lub otoczenia urządzenia.

Kogo dotyczy

Respiratory medyczne (wentylatory) oraz powiązane komputery serwisowe (Service PC) — szczegółowe informacje o konkretnych modelach i wersjach wskazane są w referencjach producenta (ICSMA-24-319-01).

Uwagi

Podatność dotyczy urządzeń medycznych klasy ICS (Industrial Control Systems – Medical). Poradnik bezpieczeństwa został opublikowany przez CISA jako ICSMA-24-319-01. Ze względu na krytyczny charakter środowiska (urządzenia podtrzymujące życie), ryzyko dla bezpieczeństwa pacjentów jest szczególnie wysokie mimo braku potwierdzenia aktywnego wykorzystania podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje