Introducción
Medtronic ha reportado al CISA [1] aviso de vulnerabilidad crítica cuya explotación exitosa podría resultar en la ejecución remota de código o una condición de denegación de servicio, afectando al sistema Paceart Optima.
Análisis
Esta vulnerabilidad afecta a la versión 1.11 y anteriores.
CVE-2023-31222: Si se habilita el servicio de mensajería Paceart, un usuario no autorizado podría aprovechar esta vulnerabilidad para realizar una ejecución remota de código y/o ataques de denegación de servicio (DoS) mediante el envío de mensajes especialmente diseñados al Paceart Optima system. La ejecución remota de código podría provocar la eliminación, el robo o la modificación de los datos del dispositivo cardíaco del sistema, o ser utilizado para una mayor penetración de la red.
Recomendaciones
Medtronic recomienda a todos los usuarios afectados que actualicen sus productos al último parche . Esta vulnerabilidad se corrigió en la versión 1.12.
Asimismo, ha proporcionado algunas mitigaciones inmediatas que los usuarios pueden aplicar para reducir el riesgo, como deshabilitar manualmente el servicio de mensajería del sistema Paceart.
Referencias
[1] Medtronic Paceart Optima System