CVE-2024-48970
KrytyczneStreszczenie
Mikrokontroler wentylatora nie posiada ochrony pamięci. Atakujący może podłączyć się do wewnętrznego interfejsu JTAG i odczytać lub zapisać dane w pamięci flash za pomocą ogólnodostępnego narzędzia do debugowania, co może zakłócić działanie urządzenia i/lub spowodować nieautoryzowany dostęp do informacji.
Ocena ryzyka
Brak ochrony pamięci stwarza ryzyko zakłócenia działania wentylatora oraz ujawnienia poufnych informacji, co może prowadzić do poważnych konsekwencji dla bezpieczeństwa pacjentów.
Rekomendacja
Zaleca się wprowadzenie odpowiednich zabezpieczeń pamięci w mikrokontrolerze oraz ograniczenie dostępu do interfejsu JTAG, aby zminimalizować ryzyko nieautoryzowanego dostępu.
Oryginalny opis (angielski, źródło NVD)
The ventilator's microcontroller lacks memory protection. An attacker could connect to the internal JTAG interface and read or write to flash memory using an off-the-shelf debugging tool, which could disrupt the function of the device and/or cause unauthorized information disclosure.

