IoT 보안 회사 스터넘 보안전문가들이 페어링 된 심장 장치를 제어하기 위해 사용되는 메드트로닉사의 ‘MyCareLink Smart 25000 Patient Reader’ 제품에서 보안취약점이 발견됐다고 밝혔다.
15일 시큐리티어페어스에 따르면, MyCareLink Smart 25000 Patient Reader는 환자의 이식 된 심장 장치에서 데이터를 수집해 Medtronic CareLink 네트워크로 전송하기 위해 메드트로닉에서 설계 한 플랫폼으로, 공격에 악용될 수 있는 취약점이 발견됐다고 보도했다.
이번 취약성은 CVE-2020-25183, CVE-2020-25187, CVE-2020-27252 등으로 취약한 제품의 블루투스 범위 내에 있는 공격자에 의해서만 악용 될 수 있다. 이식 된 심장 장치에서 받은 데이터를 수정하거나 위조하는 악용될 수 있는 취약점들이다.
이 결함으로 인해 원격 공격자가 페어링 된 심장 장치를 제어하고 MCL 스마트 환자 리더에서 임의의 코드를 실행할 수 있다는 것이다.
CVE-2020-25183은 공격자가 리더기와 모바일 앱 간의 인증을 우회하는데 악용 할 수 있다.
미국 DHS CISA에 따르면, 이 취약점을 통해 공격자는 환자의 스마트폰에 있는 다른 모바일 장치 또는 악성 애플리케이션을 사용해 환자의 Medtronic Smart Reader를 인증하고, 장치가 블루투스 통신 범위 내에서 실행될 때 원래 메드트로닉 스마트폰 응용 프로그램과 통신하고 있다고 믿도록 속일 수 있다고 보고했다.
CVE-2020-25187는 MCL Smart Patient Reader 소프트웨어 스택 내에서 힙 오버플로 이벤트를 유발할 수 있다. 이를 통해 공격자가 MCL 스마트 환자 리더에서 원격으로 코드를 실행할 수 있으며, 잠재적으로 장치를 제어 할 수 있다.
CVE-2020-27252는 공격자가 원격에서 환자 판독기에 서명되지 않은 펌웨어를 업로드하고 실행할 수 있는 취약점이다.
한편 메드트로닉은 모바일 MyCareLink Smart 앱을 통해 적용 할 수 있는 펌웨어 업데이트를 출시해 해당 취약점들을 해결했다. 관련된 피해는 없는 상황이다.
★정보보안 대표 미디어 데일리시큐!★