Een Amerikaanse fabrikant van pacemakers heeft na vijf maanden een beveiligingsupdate uitgerold voor een ernstig beveiligingslek waardoor aanvallers de apparaten op afstand konden aanvallen, zo waarschuwt het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid.

De kwetsbaarheid, die vorig jaar augustus al openbaar werd gemaakt, bevindt zich in de Merlin@home-apparaten van fabrikant St. Jude Medical die worden gebruikt om pacemakers en defibrillatoren te monitoren. Via het beveiligingslek kon een aanvaller op afstand de communicatie tussen de apparaten en Merlin.net manipuleren. Merlin.net laat artsen de pacemakers op afstand monitoren en beheren.

De nu uitgebrachte update zorgt voor extra validatie en verificatie tussen de pacemakers en Merlin.net. De fabrikant is van plan om dit jaar nog meer updates uit te rollen. Voor zover bekend zijn er nog geen exploits in het openbaar bekend die misbruik van de kwetsbaarheid maken. Volgens het ICS-CERT zou een aanvaller over de nodige vaardigheden en kennis moeten beschikken om het beveiligingslek te kunnen aanvallen.

Aandelen

De kwetsbaarheid was gevonden door beveiligingsbedrijf MedSec en openbaar gemaakt door investeringsbedrijf Muddy Waters. Volgens de onderzoekers bevat de apparatuur ernstige kwetsbaarheden waardoor een aanvaller op afstand de pacemakers kon uitschakelen, de hartslag gevaarlijk kon verhogen of de batterij kon laten leeglopen. Door de publicatie hoopten beide bedrijven geld te verdienen. Muddy Waters was namelijk "short" gegaan op de aandelen van St Jude Medical. Als de koers naar aanleiding van het onderzoeksrapport daalde zou het investeringsfonds hiervan profiteren en de winst vervolgens met het beveiligingsbedrijf delen. St. Jude Medical ontkende de aantijgingen en besloot MedSec aan te klagen.