Uw webbrowser is verouderd

Met een bijgewerkte browser heeft u een betere ervaring met de website van Medtronic. Werk mijn browser nu bij.

×

Skip to main content

DDS-kwetsbaarheid elektrochirurgische generator Valleylab™ FX8 Belangrijke veiligheidsinformatie

9 juni 2022

Product waar het om gaat

Valleylab FX8 product images

Het Valleylab™ FX8 energieplatform wordt gebruikt in operatiekamers om elektrochirurgische instrumenten aan te drijven die zorgverleners1 gebruiken tijdens chirurgische procedures. De FX8-generator heeft een Covidien-label op de bovenkant, omdat Covidien onderdeel is van Medtronic.

Covidien FX8 label

Samenvatting van de kwetsbaarheid

Tijdens routinecontroles heeft Medtronic veiligheidskwetsbaarheden2 ontdekt in de Data Distribution Service (DDS)-softwarecomponent die wordt gebruikt in het Valleylab FX8-energieplatform (in de versies ouder dan 1.1.2). Door deze kwetsbaarheden kan een onbevoegd persoon, via een netwerkverbinding of door fysieke toegang tot het apparaat, ervoor zorgen dat de generator niet werkt. Als op deze manier misbruik (exploit3) zou worden gemaakt van deze kwetsbaarheden, zou het FX8-display de modus “Fail Safe” weergeven en aangeven dat de generator niet meer werkt.

Tot op heden heeft Medtronic geen cyberaanvallen, onbevoegde toegang tot patiëntgegevens of schade aan patiënten waargenomen in verband met dit probleem.

Medtronic raadt zorgverleners aan deze apparaten te blijven gebruiken zoals bedoeld.

Risicobeperking

Klanten moeten de Valleylab™ FX8 upgraden naar de nieuwste softwareversie 1.1.2, die deze kwetsbaarheid verhelpt. Deze software-update is momenteel beschikbaar.

Deze kwetsbaarheden kunnen worden misbruikt als de apparaten op een netwerk zijn aangesloten. De FX8 kan tijdens klinisch gebruik niet op een netwerk worden aangesloten en wordt alleen op een netwerk aangesloten wanneer actief systeemupdates worden uitgevoerd of onderhoud wordt gedaan. Daarom zijn er tijdens de procedures geen veiligheidsrisico's voor de patiënt. Het mogelijke risico voor de patiënt is beperkt tot een kleine vertraging van de behandeling omdat de chirurgische procedure pas kan worden gestart als er een vervangend apparaat beschikbaar is. Hieronder vindt u acties die een gezondheidszorgorganisatie kan uitvoeren om het risico op deze kwetsbaarheden te beperken:

  • Wanneer u deze apparaten op een netwerk aansluit voor systeemupdates of onderhoud, zorg er dan voor dat het netwerk beveiligd is.
  • Zorg voor goede fysieke veiligheidscontroles rond het product om onbedoelde toegang door een onbevoegd gebruiker te voorkomen.

Deze software-update moet tijdens het onderhoud worden doorgevoerd, conform de reguliere onderhoudsrichtlijnen van FX8-generatoren voor zorgorganisaties. Deze update kunnen worden gedaan door het technische team in het ziekenhuis, de verkoop- of servicevertegenwoordiger van Medtronic, of door het apparaat naar een servicecentrum van Medtronic te sturen.

Only connect the FX8 to the service laptop when updating the FX8. The FX8 should never be connected to any other system or network. When not in use, the FX8 should be disconnected and powered off. Ensure the service laptop is secure. Ensure the service laptop is connected to a secure local network.

Bekijk grotere afbeelding


Apparaten kunnen in gebruik blijven totdat de software-update is voltooid. Klanten met meerdere Valleylab™-generatoren moeten elk systeem afzonderlijk updaten.

Klanten kunnen contact opnemen met hun lokale vertegenwoordiger van Medtronic voor aanvullende informatie.

Als u vermoedt dat er een veiligheidsprobleem is opgetreden met uw apparaat, neem dan contact op met Medtronic via onze Customer Care-afdeling.

Als u andere vragen heeft over productbeveiliging in het algemeen, dan kunt u contact opnemen met de Medtronic Product Security Office op security@medtronic.com

Aanvullende technische details

De ontdekte veiligheidskwetsbaarheid is een geheugenbeschadiging die kan worden veroorzaakt door een verkeerd gevormd netwerkpakket naar de actieve DDS-applicatie te sturen, waarvoor een netwerkverbinding met het doelknooppunt nodig is. Een aanval kan ertoe leiden dat de apparaten onbruikbaar worden. Aan de kwetsbaarheid is een CVSS* 3.0-score van 5.3 toegewezen voor alle softwareversies in de FX8-generator die ouder zijn dan 1.1.2. De score van 5.3 is de ongewijzigde score voordat de patch is toegepast. Het toegewezen CVE**-nummer is CVE-2021-43547.

 

* CVSS = Common Vulnerability Scoring System (Scoringssysteem voor veelvoorkomende kwetsbaarheden)
** CVE = Common Vulnerabilities and Exposures (Veelvoorkomende kwetsbaarheden en blootstellingen)

Definitie van de termen

Zorgverlener - Een zorgverlener is een persoon of organisatie die zorgdiensten en -benodigdheden levert, ervoor factureert of ervoor betaald wordt. In dit geval kunnen zorgverleners individuen zijn (artsen of verpleegkundigen) of organisaties (ziekenhuizen, klinieken, praktijkgroepen, samen met hun administratief personeel). Onderzoekers in de gezondheidszorg worden ook beschouwd als zorgverleners.

Kwetsbaarheid - Een kwetsbaarheid is een zwakke plek in systemen, software of producten die de veiligheid in gevaar brengt. Een kwetsbaarheid geeft mensen de mogelijkheid om kwaadwillende acties uit te voeren op diezelfde systemen, software en producten.

Exploit - Een exploit is een programma of methode die kwetsbaarheden in een systeem of product gebruikt om onbevoegd toegang te krijgen of de correcte werking van het systeem of product negatief te beïnvloeden.

Disclaimer: Deze pagina bevat mogelijk informatie over producten die niet beschikbaar zijn in uw regio of land. Lees eerst de goedgekeurde indicaties voor gebruik. Informatie over specifieke producten van Medtronic is niet bestemd voor gebruikers in markten die geen toestemming voor het gebruik hebben.