CRITICAL🇬🇧 English

CVE-2024-48973

Domyślnie włączony port debug w respiratorze — nieautoryzowany dostęp przez interfejs szeregowy

CVSS 9.3v3.1pub. 2024-11-14upd. 2026-04-15

Podatność dotyczy respiratora, w którym port diagnostyczny (debug) na interfejsie szeregowym jest domyślnie włączony i niezaszyfrowany. Umożliwia to atakującemu z dostępem fizycznym wysyłanie i odbieranie komunikatów, co może prowadzić do ujawnienia informacji lub niezamierzonych zmian ustawień urządzenia.

Pokaż oryginał (EN)

The debug port on the ventilator's serial interface is enabled by default. This could allow an attacker to send and receive messages over the debug port (which are unencrypted; see 3.2.1) that result in unauthorized disclosure of information and/or have unintended impacts on device settings and performance.

🤖 Analiza AI
Jak działa

Port debug na interfejsie szeregowym respiratora jest aktywny domyślnie i nie wymaga uwierzytelnienia. Komunikacja przez ten port odbywa się bez szyfrowania, co oznacza, że atakujący z fizycznym dostępem do urządzenia może swobodnie przechwytywać przesyłane dane oraz wysyłać własne polecenia. Skutkiem może być zarówno nieautoryzowany odczyt informacji diagnostycznych i konfiguracyjnych, jak i modyfikacja ustawień oraz zachowania urządzenia.

Skutki

Atakujący może uzyskać nieuprawniony dostęp do informacji przesyłanych przez interfejs szeregowy oraz wpływać na ustawienia i działanie respiratora, co w środowisku medycznym może stwarzać bezpośrednie zagrożenie dla życia pacjenta.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się ograniczenie fizycznego dostępu do interfejsu szeregowego urządzenia oraz weryfikację, czy port debug może zostać wyłączony w konfiguracji urządzenia zgodnie z zaleceniami producenta opisanymi w poradniku CISA ICSMA-24-319-01.

Kogo dotyczy

Respirator (wentylator medyczny) wskazany w poradniku CISA ICS-CERT ICSMA-24-319-01 — szczegółowe wersje wskazane w referencjach producenta

Uwagi

Podatność dotyczy urządzenia medycznego klasy krytycznej (respirator/wentylator). Poradnik bezpieczeństwa został opublikowany przez CISA w ramach serii ICS-CERT Medical Advisory (ICSMA-24-319-01). Klasyfikacja CWE-1263 odnosi się do niewystarczającego fizycznego zabezpieczenia przed debugowaniem. Ocena CVSS 9.3 z wektorem lokalnym (AV:L) bez wymagania uprawnień (PR:N) i bez interakcji użytkownika (UI:N) przy pełnym zakresie oddziaływania (S:C) odzwierciedla krytyczny charakter podatności w kontekście bezpieczeństwa pacjentów.

CVSS Vector
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje