Een Amerikaanse fabrikant van pacemakers heeft na vijf maanden een beveiligingsupdate uitgerold voor een ernstig beveiligingslek waardoor aanvallers de apparaten op afstand konden aanvallen, zo waarschuwt het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid.

De kwetsbaarheid, die vorig jaar augustus al openbaar werd gemaakt, bevindt zich in de Merlin@home-apparaten van fabrikant St. Jude Medical die worden gebruikt om pacemakers en defibrillatoren te monitoren. Via het beveiligingslek kon een aanvaller op afstand de communicatie tussen de apparaten en Merlin.net manipuleren. Merlin.net laat artsen de pacemakers op afstand monitoren en beheren.

De nu uitgebrachte update zorgt voor extra validatie en verificatie tussen de pacemakers en Merlin.net. De fabrikant is van plan om dit jaar nog meer updates uit te rollen. Voor zover bekend zijn er nog geen exploits in het openbaar bekend die misbruik van de kwetsbaarheid maken. Volgens het ICS-CERT zou een aanvaller over de nodige vaardigheden en kennis moeten beschikken om het beveiligingslek te kunnen aanvallen.