Múltiples vulnerabilidades en MyCareLink Patient Monitor de Medtronic
Todas las versiones de MyCareLink Patient Monitor para los modelos:
- 24950
- 24952
Ethan Morchy, de Somerset Recon, y Carl Mann, han informado sobre 3 vulnerabilidades: 2 de severidad alta y una media que, de ser explotadas, podrían comprometer el sistema, permitir el acceso no autorizado a datos sensibles y manipular la funcionalidad del monitor pero, en ningún caso, provocar un daño directo en el paciente.
El fabricante ha comenzado a instalar actualizaciones de seguridad en estos productos para solucionar dichas vulnerabilidades. Es preciso asegurarse de que el dispositivo se encuentra conectado a Internet.
Las vulnerabilidades se consideran de bajo-riesgo ya que, para poder explotarlas, un atacante necesita manipular físicamente el dispositivo.
Las vulnerabilidades de severidad alta son:
- CVE-2025-4394: el dispositivo emplea un sistema de ficheros sin cifrar para el almacenamiento interno, esto permite a un atacante con acceso físico leer y modificar los ficheros.
- CVE-2025-4395: el dispositivo tiene una cuenta de usuario integrada con una contraseña vacía, lo que permite a un atacante con acceso físico iniciar sesión sin contraseña y acceder/modificar la funcionalidad del sistema.
La vulnerabilidad de severidad media tiene asignado el identificador CVE-2025-4393 y es de tipo deserialización de datos no confiables, su detalle se puede consultar en las referencias.
