Uw webbrowser is verouderd

Met een bijgewerkte browser heeft u een betere ervaring met de website van Medtronic. Werk mijn browser nu bij.

×

Skip to main content

DDS-kwetsbaarheid Valleylab™ FT10-energieplatform Belangrijke veiligheidsinformatie

Datum oorspronkelijke bericht: 9 juni 2022

Bijgewerkt op 11 juli 2023: De sectie over de risicobeperking is gewijzigd om aan te geven dat er nu een software-update beschikbaar is.

Product waar het om gaat

Valleylab FT10 product images

Het Valleylab™ FT10-energieplatform wordt gebruikt in operatiekamers om chirurgische instrumenten van stroom te voorzien die zorgverleners1 gebruiken tijdens chirurgische procedures. De FT10-generator heeft een Covidien-label op de bovenkant, omdat Covidien onderdeel is van Medtronic.

Covidien Valleylab FT10

Samenvatting van de kwetsbaarheid

Tijdens routinecontroles heeft Medtronic veiligheidskwetsbaarheden2 ontdekt in de Data Distribution Service (DDS)-softwarecomponent die wordt gebruikt in het ValleylabFT10-energieplatform van Medtronic (alle voorgaande softwareversies). Door deze kwetsbaarheden kan een onbevoegd persoon, via een netwerkverbinding of door fysieke toegang tot het apparaat, ervoor zorgen dat de generator niet werkt. Als op deze manier misbruik (exploit3) zou worden gemaakt van deze kwetsbaarheden, zou het FT10-display de modus “Fail Safe” weergeven en aangeven dat de generator niet meer werkt.

Tot op heden heeft Medtronic geen schade aan patiënten, cyberaanvallen of onbevoegde toegang tot gegevens waargenomen in verband met dit probleem.

Medtronic raadt zorgverleners aan deze apparaten te blijven gebruiken zoals bedoeld.

Risicobeperking

Deze kwetsbaarheden kunnen worden misbruikt als de apparaten op een netwerk zijn aangesloten. De FT10 kan tijdens klinisch gebruik niet op een netwerk worden aangesloten en wordt alleen op een netwerk aangesloten wanneer actief systeemupdates worden uitgevoerd of onderhoud wordt gedaan. Daarom zijn er tijdens de procedures geen veiligheidsrisico’s voor de patiënt. Het mogelijke risico voor de patiënt is beperkt tot een kleine vertraging van de behandeling omdat de chirurgische procedure pas kan worden gestart als er een vervangend apparaat beschikbaar is.

Een software-update om deze kwetsbaarheid te verhelpen is beschikbaar sinds juli 2023. De software-update moet worden doorgevoerd tijdens een moment van onderhoud, conform de reguliere onderhoudsrichtlijnen van FT10-generatoren voor zorgorganisaties. Deze update kunnen worden gedaan door het technische team in het ziekenhuis, de verkoop- of servicevertegenwoordiger van Medtronic, of door het apparaat naar een servicecentrum van Medtronic te sturen. Apparaten kunnen blijven worden gebruikt totdat de software-update beschikbaar is. Klanten met meerdere Valleylab™-generatoren moeten elk systeem afzonderlijk updaten.

Hieronder vindt u acties die een gezondheidszorgorganisatie in de tussentijd kan uitvoeren om het risico op deze kwetsbaarheden te beperken:

  • Wanneer u deze apparaten aansluit op een service-laptop voor systeemupdates of onderhoud, zorg er dan voor dat alle netwerkverbindingen veilig zijn.
  • Zorg voor goede fysieke beveiligingsmaatregelen rond het product om toegang door een onbevoegd gebruiker te voorkomen.

Only connect the FT10 to the service laptop when updating the FT10. The FT10 should never be connected to any other system or network. When not in use, the FT10 should be disconnected and powered off. Ensure the service laptop is secure. Ensure the service laptop is connected to a secure local network.

Bekijk grotere afbeelding


Klanten kunnen contact opnemen met hun lokale vertegenwoordiger van Medtronic voor aanvullende informatie.

Als u vermoedt dat er een veiligheidsprobleem is opgetreden met uw apparaat of als u vragen heeft over de toekomstige update, neem dan contact op met Medtronic via onze onze Customer Care-afdeling.

Als u andere vragen heeft over productbeveiliging in het algemeen, dan kunt u contact opnemen met de Medtronic Product Security Office op security@medtronic.com.

Aanvullende technische details

De ontdekte veiligheidskwetsbaarheid is een geheugenbeschadiging die kan worden veroorzaakt door een verkeerd gevormd netwerkpakket naar de actieve DDS-applicatie te sturen, waarvoor een netwerkverbinding met het doelknooppunt nodig is. Een aanval kan ertoe leiden dat de apparaten onbruikbaar worden. Aan de kwetsbaarheid is een CVSS* 3.0-score van 5.3 voor alle softwareversies in de FT10. De score van 5.3 is de ongewijzigde score voordat de patch is toegepast. Het toegewezen CVE**-nummer is CVE-2021-43547.

* CVSS = Common Vulnerability Scoring System (Scoringssysteem voor veelvoorkomende kwetsbaarheden)
** CVE = Common Vulnerabilities and Exposures (Veelvoorkomende kwetsbaarheden en blootstellingen)

Definitie van de termen

Zorgverlener – Een zorgverlener is een persoon of organisatie die zorgdiensten en -benodigdheden levert, ervoor factureert of ervoor betaald krijgt. In dit geval kunnen zorgverleners individuen zijn (artsen of verpleegkundigen) of organisaties (ziekenhuizen, klinieken, praktijkgroepen, samen met hun administratief personeel). Onderzoekers in de gezondheidszorg worden ook als zorgverleners beschouwd.

Kwetsbaarheid - Een kwetsbaarheid is een zwakte in systemen, software of producten die de veiligheid in gevaar brengt. Een kwetsbaarheid geeft mensen de mogelijkheid om kwaadwillende acties uit te voeren op dezelfde systemen, software en producten.

Exploit – Een exploit is een programma of methode die kwetsbaarheden in een systeem of product gebruikt om onbevoegd toegang te krijgen of de correct werking van het systeem of product negatief te beïnvloeden.

Disclaimer: Deze pagina bevat mogelijk informatie over producten die niet beschikbaar zijn in uw regio of land. Lees eerst de goedgekeurde indicaties voor gebruik. Informatie over specifieke producten van Medtronic is niet bestemd voor gebruikers in markten die geen toestemming voor het gebruik hebben.