Ver CSAF
1. Resumen ejecutivo
CVSS V4 7.0
ATENCIÓN: Baja complejidad de ataque
Proveedor: Medtronic
Equipo: Mycarelink Patient Monitor 24950, 24952
Vulnerabilidades: Almacenamiento de ClearText de información confidencial, contraseña vacía en el archivo de configuración, deserialización de datos no confiables
2. Evaluación de riesgos
La explotación exitosa de estas vulnerabilidades podría conducir al compromiso del sistema, el acceso no autorizado a datos confidenciales y la manipulación de la funcionalidad del monitor.
3. Detalles técnicos
3.1 Productos afectados
Los siguientes productos Medtronic se ven afectados:
Modelo de monitor de paciente de MyCarelink 24950: todas las versiones
Modelo de monitor de paciente de MyCarelink 24952: Todas las versiones
3.2 Descripción general de vulnerabilidad
3.2.1 ClearText Almacenamiento de información confidencial CWE-312
Monitor de paciente Medtronic MyCarelink utiliza un sistema de archivos sin cifrar en el almacenamiento interno, lo que permite a un atacante con acceso físico para leer y modificar archivos.
CVE-2025-4394 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 6.8; La cadena de vector CVSS es (AV: P/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H).
También se ha calculado una puntuación CVSS V4 paraCVE-2025-4394. Se ha calculado una puntuación base de 7.0; La cadena de vector CVSS es (Por: P/AC: L/AT: N/PR: N/UI: N/VC: H/VI: H/VA: H/SC: N/SI: N/SA: N).
3.2.2 Contraseña vacía en el archivo de configuración CWE-258
Medtronic MyCarelink Patient Monitor tiene una cuenta de usuario incorporada con una contraseña vacía, que permite a un atacante con acceso físico para iniciar sesión sin contraseña y acceso/modificación de la funcionalidad del sistema.
CVE-2025-4395 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 6.8; La cadena de vector CVSS es (AV: P/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H).
También se ha calculado una puntuación CVSS V4 paraCVE-2025-4395. Se ha calculado una puntuación base de 7.0; La cadena de vector CVSS es (Por: P/AC: L/AT: N/PR: N/UI: N/VC: H/VI: H/VA: H/SC: N/SI: N/SA: N).
3.2.3 Deserialización de datos no confiables CWE-502
Monitor de paciente Medtronic MyCarelink tiene un servicio interno que deserializa los datos, lo que permite a un atacante local interactuar con el servicio al crear una carga útil binaria para bloquear el servicio o elevar los privilegios.
CVE-2025-4393 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 6.5; La cadena de vector CVSS es (AV: L/AC: H/PR: L/UI: N/S: U/C: L/I: H/A: H).
También se ha calculado una puntuación CVSS V4 paraCVE-2025-4393. Se ha calculado una puntuación base de 5.9; La cadena de vector CVSS es (Por: L/AC: H/AT: P/PR: L/UI: N/VC: L/VI: H/VA: H/SC: N/SI: N/SA: N).
3.3 Antecedentes
Sectores de infraestructura crítica: Salud y salud pública
Países/áreas desplegadas: Mundial
Ubicación de la sede de la empresa: Irlanda
3.4 investigador
Ethan Morchy de Somerset Recon y Carl Mann, un investigador independiente, informaron estas vulnerabilidades a Medtronic.
4. Mitigaciones
Las vulnerabilidades identificadas se informaron como hallazgos de bajo riesgo. Un atacante necesitaría manipular físicamente el monitor para explotarlos. En respuesta, a partir de junio de 2025, Medtronic comenzó a implementar actualizaciones de seguridad para abordar estos hallazgos.
Medtronic recomienda las siguientes acciones:
El proceso de actualización de seguridad se realiza automáticamente cuando el monitor está conectado a Internet. Los usuarios deben asegurarse de que su monitor remoto esté conectado para recibir actualizaciones.
Los médicos deben continuar prescribiendo monitores según lo previsto.
Los usuarios deben mantener la posesión de su monitor en el hogar.
Los usuarios solo deben usar monitores domésticos proporcionados directamente de un proveedor de atención médica o un representante de Medtronic.
Los usuarios que necesitan asistencia adicional deben contactar seguridad@medtronic.com.
Para obtener más información sobre estas vulnerabilidades, consulte Boletín de seguridad de Medtronic.
Los usuarios deben seguir la guía de CISA en las siguientes áreas:
CISA recuerda a las organizaciones que realicen un análisis de impacto adecuado y una evaluación de riesgos antes de implementar medidas defensivas.
CISA también proporciona una sección para Control Sistemas Seguridad Prácticas recomendadas en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para leer y descargar, incluida Mejora de los sistemas de control industrial Ciberseguridad con estrategias de defensa en profundidad.
CISA alienta a las organizaciones a implementar estrategias recomendadas de ciberseguridad para Defensa proactiva de los activos del ICS.
La orientación de mitigación adicional y las prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics En el documento de información técnica, ICS-TIP-12-146-01B-Detección de intrusión cibernética dirigida a estrategias.
Las organizaciones que observan sospecha de actividad maliciosa deben seguir procedimientos internos establecidos e informes de informes a CISA para el seguimiento y la correlación contra otros incidentes.
No se ha informado de explotación pública conocida específicamente estas vulnerabilidades a CISA en este momento. Estas vulnerabilidades no son explotables de forma remota.
5. Historial de actualización
24 de julio de 2025: publicación inicial