Adriatic
Arabia
Argentina
Australia and New Zealand
Bangladesh
Belgique (Belgium)
België (Belgium)
Brasil (Brazil)
Bulgaria
Canada
Canada
Europe Central/Eastern, Middle East & Africa, Asia
Česká republika (Czech Republic)
Chile
中国 (China)
Colombia
Costa Rica
Србија (Serbia)
Danmark (Denmark)
Deutschland (Germany)
Ecuador
España (Spain)
Europe
France
Ελλάδα (Greece)
香港特區 (Hong Kong SAR)
Indian Subcontinent
Ireland
Israel ישראל
Italia (Italy)
日本 (Japan)
Latinoamérica
Magyarország (Hungary)
México (Mexico)
Nederland (Netherlands)
Norge (Norway)
Österreich (Austria)
Panama
Paraguay
Perú (Peru)
Philippines
Polska (Poland)
Российская Федерация (Russia)
Portugal
Puerto Rico
Romania
العربية الشرق Middle East
Schweiz (Switzerland)
Singapore
Slovenská republika (Slovak Republic)
South Africa and Sub-Sahara
대한민국 (South Korea)
Suisse (Switzerland)
Suomi (Finland)
Sverige (Sweden)
台灣地區 (Taiwan)
ประเทศไทย (Thailand)
Türkiye (Turkey)
United Kingdom
United States
Uruguay
Україна (Ukraine)
Tiếng Việt (Vietnam)
30 november 2023
Samenvatting
Onderzoekers hebben twee veiligheidskwetsbaarheden geïdentificeerd in Mirth™ Connect, een opensourceplatform van een derde partij voor de integratie van gezondheidsgegevens. Deze kwetsbaarheden hebben invloed op NextGen Mirth Connect 4.4.0 en eerdere versies. De kwetsbaarheden maken een aanval op afstand mogelijk waarbij willekeurige opdrachten kunnen worden uitgevoerd op de hostingserver.
De producten waarvan bekend is dat ze deze kwetsbaarheden hebben, evenals de aanbevolen handelingen om het probleem aan te pakken, worden hieronder vermeld. Medtronic zal dit beveiligingsbulletin bijwerken als er verdere impact wordt ontdekt of als er verdere aanbevolen acties zijn.
Medtronic is niet op de hoogte van enige cyberaanvallen, ongeautoriseerde toegang tot of verlies van patiëntgegevens, of schade aan patiënten met betrekking tot deze kwetsbaarheden.
Producten die het betreft
Mainspring™ Data Express
NextGen Mirth Connect is geïnstalleerd als een optioneel onderdeel van de Mainspring™ Data Express CareLink™ Electronic Health Record (EHR)-integratie. Mainspring wordt gebruikt om patiëntgegevens van hartimplantaten te exporteren vanuit het Medtronic CareLink™-netwerk en is een optioneel onderdeel (apart geïnstalleerd) bij gebruik van het CareLink-netwerk. Mirth is geen eigendom van of ontwikkeld door Medtronic.
Ter verduidelijking, de volgende systemen die zijn geïntegreerd met het CareLink-netwerk worden NIET beïnvloed:
- Het Paceart Optima™-systeem wordt NIET beïnvloed door deze kwetsbaarheden; Mirth Connect wordt NIET gebruikt of geïnstalleerd bij het exporteren van gegevens van het CareLink-netwerk naar het Paceart Optima™-systeem.
- CareLink-netwerkklanten die GEEN gebruik maken van Mainspring worden NIET beïnvloed door deze kwetsbaarheden; alleen CareLink-netwerkklanten die Mainspring met Mirth gebruiken kunnen kwetsbaar zijn.
Virtuele Vital Sync™-patiëntenmonitoringsplatform en -informaticamanager
Mirth Connect is een component die door een klein aantal Vital Sync-klanten wordt gebruikt om communicatie tussen medische apparaten van Welch Allyn en de Vital Sync-software mogelijk te maken. Als u Vital Sync gebruikt en GEEN communicatie heeft opgezet met medische apparaten van Welch Allyn, zult u de kwetsbare Mirth Connect-component niet geïnstalleerd hebben voor de juiste werking van Vital Sync. Medtronic heeft de Vital Sync-klanten geïdentificeerd die de Mirth Connect-component gebruiken om te communiceren met medische apparaten van Welch Allyn, en zal hen rechtstreeks benaderen voor maatregelen om het probleem aan te pakken.
Overzicht van het probleem
Tot op heden heeft Medtronic geen cyberaanvallen, onbevoegde toegang tot of verlies van patiëntgegevens of schade aan patiënten waargenomen in verband met dit probleem.
Het National Institute of Standards and Technology (NIST) heeft CVE*-2023-37679 en CVE-2023-43208 gepubliceerd in de National Vulnerability Database (NVD). Hieronder staat een korte samenvatting van elke kwetsbaarheid met een link naar hun respectievelijke NIST NVD-vermeldingen. NIST kan nieuwe details publiceren zodra die er zijn:
- CVE-2023-43208 - Dit is een remote code execution (RCE)-kwetsbaarheid van zeer ernstige aard die van invloed is op de Mirth Connect-software van een derde partij met een oudere versie dan de 4.4.1-versie. Er kan misbruik plaatvinden zonder authenticatie, waardoor een aanvaller willekeurige code kan uitvoeren op het getroffen systeem.
- CVE-2023-37679 - Dit is een remote code execution (RCE)-kwetsbaarheid van zeer ernstige aard die van invloed is op Mirth Connect-software van een derde partij met een oudere versie dan de 4.4.0-versie.
* CVE = Common Vulnerabilities and Exposures (Veelvoorkomende kwetsbaarheden en blootstellingen)
Aanbevolen handelingen
Mainspring™ Data Express
- Onmiddellijke beperkende maatregelen voor Mainspring-gebruikers:
- Controleer op de aanwezigheid van Mirth Connect op uw Mainspring-server(s) (zie instructies in het laatste deel op deze pagina).
- Als Mirth Connect-versie 4.4.0 (of ouder) aanwezig is, verwijder Mirth Connect (zie instructies in het laatste deel op deze pagina).
- Zodra de oudere versie van Mirth Connect is verwijderd, kunt u Mirth Connect-versie 4.4.2 installeren vanaf de NextGen HealthCare-website, die softwarefixes voor deze kwetsbaarheden bevat. Na installatie van Mirth Connect versie 4.4.2, update dan uw Mirth-kanaal om uw eerdere configuraties te matchen.
- Om de functionaliteit van Mainspring te evalueren, bevestig dat nieuwe transmissies zonder problemen worden verwerkt en bevestig dat u handmatig transmissies kunt exporteren vanuit CareLink.
- Update aub naar Mainspring 13.0. Beschikbaar sinds april 2024; deze release vereist de Mirth Connect-component niet.
Virtuele Vital Sync™-patiëntenmonitoringsplatform en -informaticamanager
Medtronic zal de Vital Sync-klanten benaderen die de Mirth Connect-component gebruiken voor het mogelijk maken van communicatie tussen de medische apparaten van Welch Allyn en de Vital Sync-software. Vital Sync-klanten die niet zeker weten of ze Mirth Connect gebruiken om te communiceren met Welch Allyn-apparaten kunnen controleren op de aanwezigheid van Mirth Connect op de server(s) waar hun Vital Sync-installatie zich bevindt (zie instructies in het laatste deel op deze pagina). Als Vital Sync-klanten Mirth Connect geïnstalleerd hebben op een Vital Sync-server om communicatie met Welch Allyn-apparaten mogelijk te maken, neem dan contact op met Customer Care van Medtronic voor de stappen om dit probleem op te lossen.
Meer informatie
Mainspring™ Data Express
Klanten die werken met Mainspring™ Data Express kunnen contact opnemen met Customer Care van Medtronic.
Virtuele Vital Sync™-patiëntenmonitoringsplatform en -informaticamanager
Vital Sync-klanten kunnen contact opnemen met Customer Care van Medtronic.
Gedetailleerde instructies voor Mainspring™ Data Express
Om te achterhalen of u Mainspring gebruikt:
- Ga naar de CareLink-web-interface.
- Klik op het tabblad Transmissies (Transmissions).
- In het menu boven de transmissies, zoek het icoontje voor Export map.
Als het Export map-icoontje NIET aanwezig is, dan gebruikt u GEEN Mainspring en is er GEEN probleem. Als het Export map-icoontje aanwezig is, dan gebruikt u Mainspring en moet u controleren op de aanwezigheid van Mirth daar waar Mainspring is geïnstalleerd (d.w.z. server of werkstation).
Als u een provider van een derde partij gebruikt (d.w.z. Murj, Pacemate, Implicity, etc.), overweeg dan contact met hen op te nemen voor het lokaliseren van de Mainspring-installatie.
Als u het Paceart Optima-systeem gebruikt, is er GEEN probleem, aangezien Paceart GEEN gebruik maakt van Mirth.
Om NextGen Mirth Connect te identificeren via Programma's toevoegen/verwijderen (Add/Remove Programs) in Windows:
1. Open het configuratiescherm.
2. Klik op Programma's en Onderdelen (Programs and Features).
3. Scroll door de lijst met programma's en zoek naar Mirth Connect.
4. Als u Mirth Connect in de lijst ziet, dan is het geïnstalleerd op uw computer.
5. Noteer de versie die op uw server is geïnstalleerd.
Om NextGen Mirth Connect te verwijderen via Programma's toevoegen/verwijderen (Add/Remove Programs) in Windows:
1. Noteer uw huidige Mirth-kanaalconfiguraties voordat u begint.
2. Open het configuratiescherm.
3. Klik op Programma's en Onderdelen (Programs and Features).
4. Scroll door de lijst met programma's en selecteer Mirth Connect.
5. Klik op Verwijderen (Uninstall) en volg de prompts om Mirth Connect te verwijderen.
Gedetaileerde Vital Sync-instructies
Om te achterhalen of NextGen Mirth Connect is geïnstalleerd op uw Vital Sync-server via Programma's toevoegen/verwijderen (Add/Remove Programs) in Windows:
1. Open het configuratiescherm.
2. Klik op Programma's en Onderdelen (Programs and Features).
3. Scroll door de lijst met programma's en zoek naar Mirth Connect.
4. Als u Mirth Connect in de lijst ziet, dan is het geïnstalleerd op uw computer.
5. Noteer de versie die op uw server is geïnstalleerd.
Disclaimer: Deze pagina bevat mogelijk informatie over producten die niet beschikbaar zijn in uw regio of land. Lees eerst de goedgekeurde indicaties voor gebruik. Informatie over specifieke producten van Medtronic is niet bestemd voor gebruikers in markten die geen toestemming voor het gebruik hebben.