关键信息 漏洞概述 发现时间: 2018年8月7日,更新于2019年3月13日和2021年10月5日。 漏洞描述: 外部安全研究人员发现Medtronic的MiniMed Paradigm™胰岛素泵远程控制器存在漏洞。当使用时,Paradigm™遥控器(类似钥匙扣)允许糖尿病患者在不物理访问胰岛素泵的情况下发送远程胰岛素剂量(称为“远程推注”)。这使用户能够从距离泵几英尺远的地方进行胰岛素剂量。 影响的产品 MMT-500 Remote Controller - MMT-508 - MiniMed泵(不再由Medtronic制造) MMT-503 Remote Controller - MMT-511 / MMT-712 Paradigm™ x12 - MMT-512 / MMT-714 Paradigm™ 715 - MMT-522 / MMT-722 Paradigm™ REAL-TIME - MMT-522(K) / MMT-722(K) Paradigm™ REAL-TIME - MMT-523 / MMT-723 Paradigm™ Revel - MMT-523(K) / MMT-723(K) Paradigm™ - MMT-554 / MMT-754 MiniMed™ Veo - MMT-551 / MMT-751 MiniMed™ 530G 缓解措施 用户应立即停止使用并断开远程控制器,禁用远程功能,并将远程控制器返回给Medtronic。 需要满足多个条件才能利用此漏洞: 1. 泵的远程选项需要启用。 2. 用户的远程控制器ID需要注册到泵上。 3. 易用推注选项需要在泵上打开且设置为易用推注大小。 4. 未经授权的个人需要在用户附近,具有复制无线电信号的能力。 5. 未经授权的个人需要在用户附近播放RF信号以传递恶意远程推注。 6. 泵需要忽略泵警报,表明远程推注正在被传递。 其他资源 患者可以联系24小时热线电话或访问Medtronic网站获取更多信息。 可以在此处查看或下载现场安全通知信函的副本。 完整的ICS-CERT安全公告可在此处找到。