Σύμφωνα με την εταιρεία ασφαλείας CyberMDX, πάνω από 100 ιατρικές συσκευές της GE Healthcare είναι ευάλωτες σε μια δυνητικά σοβαρή ευπάθεια που θα μπορούσε να επιτρέψει σε έναν επιτιθέμενο να αποκτήσει πρόσβαση ή ακόμα και να τροποποιήσει πληροφορίες για την υγεία (PHI).
Η ευπάθεια έχει ονομαστεί CVE-2020-25179 και έχει αξιολογηθεί ως κρίσιμη. Σύμφωνα με τους ερευνητές, επηρεάζει: αξονικό τομογράφο, μοριακή απεικόνιση, PET, συσκευές για ακτινογραφίες, υπερήχους και μαστογραφία, καθώς και workstations και συσκευές απεικόνισης που χρησιμοποιούνται σε χειρουργικές επεμβάσεις. Τα προϊόντα της GE Healthcare, που επηρεάζονται, είναι τα: Brivo, Definium, Discovery, Innova, Optima, Odyssey, PETtrace, Precision, Seno, Revolution, Ventri και Xeleris.
Ωστόσο, η GE Healthcare δήλωσε ότι προς το παρόν δεν έχει ανακαλυφθεί κάποια μη εξουσιοδοτημένη πρόσβαση σε δεδομένα και δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι αυτή η ευπάθεια έχει ήδη χρησιμοποιηθεί από εγκληματίες.
“Κάναμε μια πλήρη αξιολόγηση του κινδύνου και καταλήξαμε στο συμπέρασμα ότι δεν τίθεται θέμα ασφάλειας των ασθενών. Η διατήρηση της ασφάλειας και της ποιότητας των συσκευών μας είναι η ύψιστη προτεραιότητά μας“, είπε η εταιρεία.
Το ζήτημα που ανακάλυψαν οι ερευνητές της CyberMDX σχετίζεται με την παρουσία hardcoded credentials για ένα λογισμικό διαχείρισης της GE Healthcare. Τα credentials μπορούν να βρεθούν στο διαδίκτυο και χρησιμοποιούνται από λογισμικό ενημέρωσης και συντήρησης για τον έλεγχο συνδέσεων με GE servers.
Ένας εισβολέας που έχει network access σε μια στοχευμένη συσκευή μπορεί να κάνει κατάχρηση αυτών των credentials (τα οποία είναι τα ίδια παγκοσμίως) για να αποκτήσει πρόσβαση σε πληροφορίες υγείας (PHI) και σε άλλα ευαίσθητα δεδομένα. Επιπλέον, σύμφωνα με τους ερευνητές, ο επιτιθέμενος θα μπορούσε να τροποποιήσει τα εκτεθειμένα δεδομένα, να εκτελέσει κώδικα στο σύστημα ή να προκαλέσει πρόβλημα στη λειτουργία του συστήματος.
Τα hardcoded credentials μπορούν να αλλάξουν μόνο από τη GE Healthcare. Οι χρήστες δεν έχουν τη δυνατότητα να τα τροποποιήσουν. Ωστόσο, η εταιρεία κατασκευής ιατρικών συσκευών λέει ότι παρέχει βοήθεια για να διασφαλίσει ότι τα credentials αλλάζουν και ότι το firewall του προϊόντος έχει ρυθμιστεί σωστά. Σύμφωνα με την GE Healthcare, δεν χρειάζεται κάποιο patch για την αντιμετώπιση της ευπάθειας, αλλά οι οργανισμοί που χρησιμοποιούν τις ευάλωτες συσκευές πρέπει να ακολουθούν τις βέλτιστες πρακτικές ασφάλειας και διαχείρισης δικτύου.
Η GE Healthcare υποστηρίζει ότι η εκμετάλλευση της ευπάθειας από εγκληματίες δεν είναι τόσο εύκολη, αφού πρέπει πρώτα να αποκτήσουν πρόσβαση σε συστήματα που προστατεύονται από διάφορες λύσεις ασφαλείας και firewalls. Επιπλέον, ακόμα και αν καταφέρουν να εκμεταλλευτούν το σφάλμα, δεν θα βρουν πολλές πληροφορίες για την υγεία, καθώς μόνο ένας περιορισμένος αριθμός PHI αποθηκεύεται στις ίδιες τις συσκευές απεικόνισης και μόνο προσωρινά. Τα δεδομένα αποστέλλονται συνήθως απευθείας στο σύστημα αρχειοθέτησης PACS και αποθηκεύονται εκεί.
Ωστόσο, ο Elad Luz, επικεφαλής της έρευνας στη CyberMDX, επεσήμανε ότι τα νοσοκομειακά δίκτυα παραβιάζονται αρκετά συχνά, οπότε η πρόσβαση των hackers μπορεί και να μην είναι τόσο δύσκολη.
Η CISA προειδοποίησε, επίσης, τους οργανισμούς που χρησιμοποιούν ευάλωτες ιατρικές συσκευές της GE Healthcare.
Πηγή: Security Week