CISA alerta para vulnerabilidade grave em dispositivos cardíacos

A CISA lançou um alerta para uma vulnerabilidade grave num dispositivo cardíaco da empresa Medtronic. A falha de segurança rastreada como CVE-2023-31222 tem uma pontuação CVSS de 9.8 e afeta o software Paceart Optima que é executado no servidor Windows de uma organização de saúde. 

A aplicação “armazena e recupera dados de dispositivos cardíacos de programadores e sistemas de monitorização remota de todos os principais fabricantes de dispositivos cardíacos para ajudar nos fluxos de trabalho padrão”. 

Em comunicado, a Medtronic disse que, caso seja explorada, a vulnerabilidade permite que os cibercriminosos excluam, roubem e modifiquem dados do dispositivo e, dessa forma, penetrem na rede da organização de saúde em questão. 
“A Medtronic identificou uma vulnerabilidade num recurso opcional de mensagens no sistema de fluxo de trabalho de dados de dispositivos cardíacos Paceart Optima. Esse recurso não é configurado por padrão e não pode ser explorado a menos que esteja habilitado. As organizações de prestação de serviços de saúde devem trabalhar com o suporte técnico da Medtronic Paceart para instalar uma atualização da aplicação Paceart Optima para eliminar essa vulnerabilidade do Paceart Application Server”, disse a empresa. 
A falha afeta todas as versões da aplicação 1.11 e anteriores e a Medtronic disse que não assistiu a qualquer exploração do bug até agora. 

A empresa explicou que a vulnerabilidade foi descoberta durante uma “monitorização de rotina” e encontra-se dentro do serviço de mensagens do software, que permite que as organizações de saúde enviem mensagens de fax, email e pager dentro do sistema Paceart Optima. Os cibercriminosos podem tirar partido da falha para executar ataques de execução remota de código e denial-of-service, enviando mensagens especialmente criadas para o sistema Paceart Optima.