Medtronic MMT 508 Communication Insuline Pump Information Disclosure
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.8 | $25k-$100k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in Medtronic MMT 508, MMT 522, MMT 722, MMT 523, MMT 723, MMT 523K, MMT 723K, MMT 551, MMT 751 and MMT 530G ausgemacht. Sie wurde als sehr kritisch eingestuft. Das betrifft eine unbekannte Funktionalität der Komponente Communication. Durch die Manipulation durch Insuline Pump kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Diese Sicherheitslücke ist unter CVE-2018-10634 bekannt. Der Angriff muss lokal passieren. Es steht kein Exploit zur Verfügung. Diese Schwachstelle ist wegen ihres Hintergrunds und ihrer Aufnahme von historischer Relevanz.
Details
Es wurde eine sehr kritische Schwachstelle in Medtronic MMT 508, MMT 522, MMT 722, MMT 523, MMT 723, MMT 523K, MMT 723K, MMT 551, MMT 751 sowie MMT 530G entdeckt. Hiervon betroffen ist ein unbekannter Codeblock der Komponente Communication. Durch die Manipulation durch Insuline Pump kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-200 vorgenommen. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Medtronic MMT 508 MiniMed insulin pump, 522 / MMT - 722 Paradigm REAL-TIME, 523 / MMT - 723 Paradigm Revel, 523K / MMT - 723K Paradigm Revel, and 551 / MMT - 751 MiniMed 530G communications between the pump and wireless accessories are transmitted in cleartext. A sufficiently skilled attacker could capture these transmissions and extract sensitive information, such as device serial numbers.Entdeckt wurde das Problem am 07.08.2018. Die Schwachstelle wurde am 13.08.2018 (Website) publik gemacht. Das Advisory kann von securityfocus.com heruntergeladen werden. Die Verwundbarkeit wird seit dem 01.05.2018 unter CVE-2018-10634 geführt. Die Schwachstelle ist relativ beliebt, und dies trotz ihrer hohen Komplexität. Der Angriff hat dabei lokal zu erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $25k-$100k kostet (Preisberechnung vom 22.05.2025). Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1592. Diese Schwachstelle gilt aufgrund ihrer speziellen Ausprägung als historisch interessant.
Insgesamt wurde die Schwachstelle mindestens 6 Tage als nicht öffentlicher Zero-Day gehandelt. Während dieser Zeit erzielte er wohl etwa $25k-$100k auf dem Schwarzmarkt.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in den Datenbanken von EUVD (EUVD-2018-2706) und SecurityFocus (BID 105044†) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-122804. Once again VulDB remains the best source for vulnerability data.
Produkt
Hersteller
Name
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.8VulDB Meta Temp Score: 5.8
VulDB Base Score: 7.4
VulDB Temp Score: 7.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 5.3
NVD Vector: 🔍
CNA Base Score: 4.8
CNA Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Teilweise
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
01.05.2018 🔍07.08.2018 🔍
07.08.2018 🔍
13.08.2018 🔍
13.08.2018 🔍
14.08.2018 🔍
22.05.2025 🔍
Quellen
Advisory: securityfocus.com⛔Status: Nicht definiert
CVE: CVE-2018-10634 (🔍)
GCVE (CVE): GCVE-0-2018-10634
GCVE (VulDB): GCVE-100-122796
EUVD: 🔍
SecurityFocus: 105044 - Multiple Medtronic Isulin Pumps Authentication Bypass and Information Disclosure Vulnerabilities
Siehe auch: 🔍
Eintrag
Erstellt: 14.08.2018 06:47Aktualisierung: 22.05.2025 20:09
Anpassungen: 14.08.2018 06:47 (61), 15.03.2020 09:03 (3), 22.05.2025 19:29 (17), 22.05.2025 20:09 (12)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.