Adriatic
Arabia
Argentina
Australia and New Zealand
Bangladesh
Belgique (Belgium)
België (Belgium)
Brasil (Brazil)
Bulgaria
Canada
Canada
Europe Central/Eastern, Middle East & Africa, Asia
Česká republika (Czech Republic)
Chile
中国 (China)
Colombia
Costa Rica
Србија (Serbia)
Danmark (Denmark)
Deutschland (Germany)
Ecuador
España (Spain)
Europe
France
Ελλάδα (Greece)
香港特區 (Hong Kong SAR)
Indian Subcontinent
Ireland
Israel ישראל
Italia (Italy)
日本 (Japan)
Latinoamérica
Magyarország (Hungary)
México (Mexico)
Nederland (Netherlands)
Norge (Norway)
Österreich (Austria)
Panama
Paraguay
Perú (Peru)
Philippines
Polska (Poland)
Российская Федерация (Russia)
Portugal
Puerto Rico
Romania
العربية الشرق Middle East
Schweiz (Switzerland)
Singapore
Slovenská republika (Slovak Republic)
South Africa and Sub-Sahara
대한민국 (South Korea)
Suisse (Switzerland)
Suomi (Finland)
Sverige (Sweden)
台灣地區 (Taiwan)
ประเทศไทย (Thailand)
Türkiye (Turkey)
United Kingdom
United States
Uruguay
Україна (Ukraine)
Tiếng Việt (Vietnam)
29 juni 2023
Samenvatting
Medtronic heeft een kwetsbaarheid ontdekt in een optionele berichtenfunctie in het Paceart Optima-workflowsysteem voor hartimplantaatgegevens. Deze functie is niet standaard geconfigureerd en kan niet worden misbruikt tenzij deze is ingeschakeld. Als voorzorgsmaatregel stelt Medtronic klanten ervan op de hoogte dat deze kwetsbaarheid, indien deze wordt misbruikt, ertoe kan leiden dat de gegevens van hartimplantaten in het Paceart Optima-systeem van een gezondheidszorgorganisatie worden verwijderd, gestolen of gewijzigd, of dat het Paceart Optima-systeem wordt gebruikt voor verdere netwerkpenetratie.
Het advies is dat zorgverstrekkende organisaties samenwerken met de technische ondersteuning van Medtronic Paceart om een update van de Paceart Optima-applicatie te installeren om deze kwetsbaarheid van de Paceart-applicatieserver te verhelpen. Dit veiligheidsbulletin bevat ook onmiddellijke, tijdelijke stappen die een zorgorganisatie kan nemen om misbruik van deze kwetsbaarheid te voorkomen.
Producten die het betreft
Paceart Optima™ is een softwaretoepassing die draait op de Windows-server van een gezondheidszorgorganisatie. Met deze applicatie worden hartimplantaatgegevens via programmeerapparaten en monitoringsystemen op afstand van alle grote fabrikanten van hartimplantaten opgehaald, verzameld en opgeslagen, om bij te dragen aan standaard werkstromen. Het Paceart Optima-product bestaat uit meerdere componenten die samenwerken om de productfunctionaliteit te leveren. Deze kwetsbaarheid is van invloed op de applicatieserver-component.
Versies die het betreft:
- Paceart Optima-applicatieversies 1.11 en ouder
Overzicht van de kwetsbaarheid
Tot op heden heeft Medtronic geen cyberaanvallen, onbevoegde toegang tot of verlies van patiëntgegevens of schade aan patiënten waargenomen in verband met dit probleem. |
Tijdens routinecontroles heeft Medtronic een kwetsbaarheid ontdekt in de optionele Paceart-berichtenservice binnen het Paceart Optima-systeem, met name in de implementatie van het Microsoft Message Queuing-protocol door de Paceart-berichtenservice. Met de Paceart-berichtenservice kunnen zorgorganisaties fax-, e-mail- en semafoonberichten verzenden binnen het Paceart Optima-systeem.
Als een zorgorganisatie de optionele Paceart-berichtenservice in het Paceart Optima-systeem heeft ingeschakeld, kan een onbevoegde gebruiker deze kwetsbaarheid misbruiken om Remote Code Execution (RCE) en/of Denial of Service (DoS)-aanvallen uit te voeren door speciaal ontworpen berichten naar het Paceart Optima-systeem te sturen. RCE kan ertoe leiden dat de hartimplantaatgegevens van het Paceart Optima-systeem worden verwijderd, gestolen of gewijzigd, of dat het Paceart Optima-systeem wordt gebruikt voor verdere netwerkpenetratie. Een DoS-aanval kan ertoe leiden dat het Paceart Optima-systeem traag wordt of niet meer reageert.
De kwetsbaarheid is aanwezig in Paceart Optima-systeemversies 1.11 en ouder.
Aanbevolen handelingen
Onmiddellijke risicobeperkende maatregelen:
Als u een gecombineerde applicatie- en integratieserver hebt, neemt u contact op met de technische ondersteuning van het Medtronic Paceart Optima-systeem voor onmiddellijke risicobeperkende maatregelen. Voor alle andere configuraties: volg de onderstaande stappen.
De kwetsbare code zal nog steeds aanwezig zijn in de applicatie, maar zal niet langer te misbruiken zijn.
Stap 1: Schakel de Paceart-berichtenservice op de applicatieserver handmatig uit.
- Open de toepassing 'Windows Services’.
- Zoek de Paceart-berichtenservice (Paceart Messaging Service).
- Klik met de rechtermuisknop op de Paceart-berichtenservice (Paceart Messaging Service) en selecteer 'Eigenschappen' (Properties).
- Selecteer 'Stop' om de service te stoppen en wijzig het opstarttype in 'Uitgeschakeld' (Disabled).
- Selecteer 'Toepassen’ (Apply).
Stap 2: Schakel de wachtrij voor berichten handmatig uit op de applicatieserver.
- Open de serverbeheersfunctie.
- Selecteer 'Rollen en functies toevoegen’ (Add roles and features).
- Selecteer 'Wizard Rollen en functies verwijderen' (Start the Remove Roles and Features Wizard).
- In het scherm Voordat u begint, klik ‘volgende’ (Before you begin – next).
- In het scherm Server selecteren, klik ‘volgende’ (Server selection – next).
- In het scherm Serverrollen, klik ‘volgende’ (Server roles – next).
- In de Functiessectie selecteer ‘onderneem actie’ (Features section – take action). Selecteer het zwarte vakje naast Berichtenwachtrij (Message Queuing).
- Wanneer het venster verschijnt, selecteert u de knop Functies verwijderen (Remove Features).
- Selecteer 'volgende' (next).
- In het scherm Bevestiging, selecteer 'Verwijderen’ (Confirmation – select ‘Remove’).
Zolang de Paceart-berichtenservice uitgeschakeld blijft, is de kwetsbaarheid niet aanwezig.
Maatregel om het probleem op lange termijn op te lossen
Werk het Paceart Optima-systeem bij naar versie 1.12 om het probleem volledig op te lossen op de applicatieserver. Deze update verwijdert de Paceart-berichtenservicefunctie en verhelpt de kwetsbaarheid op de applicatieserver volledig. Neem contact op met Customer Care van Medtronic om een update te plannen.
Als u een patiënt bent en u zich zorgen maakt over de zorgverlening in verband met het Paceart Optima-systeem, neem dan contact op met uw zorgverlener.
Meer informatie
Neem contact op met Customer Care van Medtronic voor meer ondersteuning.
Aanvullende details
Cyberbeveiligingsprofessionals kunnen de volgende technische informatie nuttig vinden voor tracerings- en risicoclassificatiedoeleinden:
- Aan de kwetsbaarheid is een CVE*-nummer toegewezen: CVE-2023-31222.
- De CVSS**-score voor deze kwetsbaarheid is 9.8.
* CVSS = Common Vulnerability Scoring System (Scoringssysteem voor veelvoorkomende kwetsbaarheden)
** CVE = Common Vulnerabilities and Exposures (Veelvoorkomende kwetsbaarheden en blootstellingen)
Definities
Remote Code Execution (RCE) – RCE is een type veiligheidskwetsbaarheid die aanvallers in staat stelt willekeurige code op afstand uit te voeren op een machine due of apparaat dat verbonden is.
Denial of Service (DoS)-aanval - Een DoS is een type cyberaanval die bedoeld is om een machine, functie of netwerk uit te schakelen, waardoor het ontoegankelijk wordt voor de beoogde gebruikers door de beschikbare capaciteit te verbruiken met ongeldige acties. De meest voorkomende DoS-techniek is het versturen van ongeldige netwerkverzoeken die de beschikbare netwerkcapaciteit van een online service opslokken waardoor deze overbelast raakt.
Exploit - Een exploit is een programma of methode die kwetsbaarheden in een systeem of product gebruikt om onbevoegd toegang te krijgen of de correcte werking van het systeem of product negatief te beïnvloeden.
Kwetsbaarheid – Een kwetsbaarheid is een zwakke plek in systemen, software of producten die de veiligheid in gevaar brengt. Een kwetsbaarheid geeft mensen de mogelijkheid om kwaadwillende acties uit te voeren op diezelfde systemen, software en producten.
Disclaimer: Deze pagina bevat mogelijk informatie over producten die niet beschikbaar zijn in uw regio of land. Lees eerst de goedgekeurde indicaties voor gebruik. Informatie over specifieke producten van Medtronic is niet bestemd voor gebruikers in markten die geen toestemming voor het gebruik hebben.