关键漏洞信息 1. 漏洞概述 CVSS v3.1: 7.1 厂商: Medtronic 受影响设备: MiniMed 508 和 Paradigm 系列胰岛素泵 漏洞类型: 不当访问控制 2. 风险评估 成功利用此漏洞可能允许攻击者通过无线射频 (RF) 通信与受影响的产品进行交互、修改或干扰,从而读取敏感数据、更改泵设置或控制胰岛素输送。 3. 技术细节 3.1 受影响产品 MiniMed 508 泵 - 所有版本 MiniMed Paradigm 511 泵 - 所有版本 MiniMed Paradigm 712/722 泵 - 所有版本 MiniMed Paradigm 712E 泵 - 所有版本 MiniMed Paradigm 515/715 泵 - 所有版本 MiniMed Paradigm 522/722 泵 - 所有版本 MiniMed Paradigm 522K/722K 泵 - 所有版本 MiniMed Paradigm 523/723 泵 - 软件版本 2.4A 或更低 MiniMed Paradigm 523K/723K 泵 - 软件版本 2.4A 或更低 MiniMed Paradigm Veo 554/754 泵 - 软件版本 2.6A 或更低 MiniMed Paradigm Veo 554CM 和 754CM 型号 - 软件版本 2.7A 或更低 3.2 漏洞概述 不当访问控制 CWE-284 - 受影响的胰岛素泵设计为使用无线 RF 与其他设备(如血糖仪、葡萄糖传感器和 CareLink USB 设备)进行通信。该无线 RF 通信协议未正确实现身份验证或授权,允许相邻访问的攻击者注入、修改或拦截数据。 - CVE-2019-10965 已分配给此漏洞,CVSS v3 基本分数为 7.1。 4. 缓解措施 Medtronic 建议美国患者联系医疗保健提供者更换具有增强网络安全保护的新型号胰岛素泵。 对于所有患者推荐的网络安全预防措施: - 维持对泵及其连接设备的物理控制。 - 不要分享泵序列号。 - 注意泵通知、警报和警报。 - 立即取消任何意外的推注。 - 不要连接到任何第三方设备或未经授权的软件。 - 断开 CareLink USB 设备的连接。 - 密切监测血糖水平并适当行动。 - 出现严重高血糖或糖尿病酮症酸中毒症状时立即寻求医疗帮助。 NCSCIC 建议用户采取防御措施以最小化此漏洞被利用的风险,特别是限制系统访问和设备连接到授权人员,并遵循最低权限原则。