CRITICAL🇬🇧 English

CVE-2024-48970

Brak ochrony pamięci w mikrokontrolerze respiratora — dostęp przez JTAG

CVSS 9.3v3.1pub. 2024-11-14upd. 2026-04-15

Mikrokontroler respiratora nie posiada mechanizmów ochrony pamięci, co umożliwia atakującemu fizyczny dostęp do wewnętrznego interfejsu JTAG i manipulację pamięcią flash urządzenia. Podatność jest szczególnie niebezpieczna ze względu na krytyczne zastosowanie medyczne urządzenia — zakłócenie jego działania może stanowić bezpośrednie zagrożenie dla życia pacjenta.

Pokaż oryginał (EN)

The ventilator's microcontroller lacks memory protection. An attacker could connect to the internal JTAG interface and read or write to flash memory using an off-the-shelf debugging tool, which could disrupt the function of the device and/or cause unauthorized information disclosure.

🤖 Analiza AI
Jak działa

Atakujący z fizycznym dostępem do urządzenia może podłączyć się do wewnętrznego interfejsu JTAG za pomocą powszechnie dostępnych narzędzi do debugowania. Ponieważ mikrokontroler respiratora nie implementuje ochrony pamięci (brak zabezpieczeń zgodnych z CWE-1191), możliwy jest odczyt oraz zapis do pamięci flash bez jakichkolwiek mechanizmów uwierzytelnienia czy kontroli dostępu. Taki dostęp pozwala na modyfikację oprogramowania układowego (firmware) lub odczyt zapisanych danych.

Skutki

Atakujący może zakłócić lub całkowicie wyłączyć funkcję respiratora, co stwarza bezpośrednie zagrożenie dla życia pacjenta, a także uzyskać nieautoryzowany dostęp do danych przechowywanych w pamięci urządzenia (nieuprawnione ujawnienie informacji).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo, do czasu wdrożenia poprawek, zaleca się ograniczenie fizycznego dostępu do urządzeń wyłącznie do autoryzowanego personelu, wdrożenie kontroli dostępu fizycznego (np. zamknięte pomieszczenia, monitoring) oraz monitorowanie urządzeń pod kątem nieuprawnionej ingerencji sprzętowej. Szczegółowe zalecenia zawiera poradnik CISA ICSMA-24-319-01.

Kogo dotyczy

Respirator (wentylator mechaniczny) wskazany w poradniku CISA ICS-CERT ICSMA-24-319-01 — konkretne modele i wersje wskazane w referencjach producenta

Uwagi

Podatność dotyczy urządzenia medycznego klasy krytycznej (respirator/wentylator mechaniczny). Wektor ataku wymaga fizycznego dostępu do urządzenia (AV:L), jednak brak uwierzytelnienia (PR:N) i szeroki zakres skutków (S:C) uzasadniają ocenę CVSS 9.3. Poradnik bezpieczeństwa opublikowany przez CISA jako ICSMA-24-319-01 w dniu 14 listopada 2024 r.

CVSS Vector
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje