Medtronic به تازگی قابلیت بروز رسانی اینترنت دو سرویس CareLink ( مورد استفاده در دستگاههای تنظیم کنندهی ضربان قلب) را غیر فعال کرد. پس از تلاش مشترک اداره غذا و داروی ایالات متحده آمریکا و شرکت، متوجه آسیبپذیر بودن فرایند بروز رسانی شدند که نرم افزار را تحت تاثیر حملات سایبری قرار میداد.
آسیب پذیری هایی که در فرآیند به روز رسانی مشخص شده اند، به فرد این امکان را می دهد که دستگاه ها را بدون نرمافزار Medtronic به روزرسانی کند که این آسیب پذیری بسته به هدف مهاجم و شرایط بیمار میتواند منجر به آسیب به شرایط بیمار شود.
FDA نیز بیانیه ای را درباره جزئیات آسیب پذیری که بر روی دستگاه های Medtronic Carelink 2090 و Carelink Encore 29901 تأثیر می گذارد منتشر کرد. این دستگاه های کامپیوتر ی قابل حمل برای دستگاه های الکتروفیزیولوژی ایمنی قلب (CIED) از قبیل دستگاه تنظیم کننده ی ضربان قلب ، دستگاه های تنظیم مجدد قلب و مانیتورهای قلبی قابل جابجایی استفاده می شوند. همچنین به پزشکان اجازه میدهند تا اطلاعاتی مانند اطلاعات عملکرد و وضعیت باتری و غیره را از CIED جمعآوری کنند و میتوانند دستگاه را براساس بهبود سلامت بیمار تنظیم کنند Medtronic. نیز می تواند از این دستگاه ها برای ارایه به روز رسانی نرمافزار استفاده کند. علاوه بر این، نرم افزار این دستگاه را می توان از طریق اینترنت دانلود و سپس از طریق اتصال به شبکه توزیع نرم افزار Medtronic یا با استفاده از یک کابل USB، از طریق اینترنت به روزکرد. زمانی که دستگاه به شبکه توزیع نرم افزار Medtronic از طریق اینترنت برای به روز رسانی ارتباط برقرار میکند ، از یک شبکه خصوصی مجازی استفاده میکند و باید وضعیت اتصال VPN را قبل از دانلود به روز رسانی نرمافزار بررسی شود ولی با این حال وضعیت اتصال VPN قبل از فرایند دانلود چک نمی شود.
FDAدر بیانیه ای اعلام کرد: “برای پرداختن به این آسیبپذیری و بهبود ایمنی بیمار، در روز ۵ اکتبر سال ۲۰۱۸، FDA به روز رسانی Medtronic را مسدود کرده که این امر عمده دستگاه ها را را از دسترسی به شبکه توزیع نرم افزار (SDN) Medtronic منع خواهد کرد. ”
Medtronic در بولتن امنیتی خود گفت: “برای از بین بردن این آسیب پذیری ها و افزایش امنیت دستگاه ها، Medtronic دسترسی به SDN را غیر فعال کرده است. هنگامی که به روز رسانی نرم افزار مورد نیاز است، یک نماینده از Medtronic به طور دستی با استفاده از یک کابل USB امن، دستگاه های CareLink 2090 و CareLink Encore 29901 را به روز رسانی می کند. ”
Medtronic تا به امروز به علت سو استفاده از آسیبپذیری، دچار خرابی نشده است. با این حال، Medtronic اعلام کرد که عوارض جانبی یا مشکلات کیفیت را می توان به صورت آنلاین، از طریق ایمیل و یا توسط فکس گزارش کرد.
سازمان غذا و دارو درباره آسیبپذیریهای امنیت فضای مجازی به برنامه نویسان Medtronic هشدار داد .
