Las vulnerabilidades de MDhex afectan los dispositivos de monitoreo de signos vitales de pacientes de GE


GE Healthcare Carescape CIC Pro

Estación de trabajo GE Healthcare Carescape CIC Pro

Imagen: GE Healthcare

Los investigadores de seguridad de CyberMDX, una compañía de seguridad cibernética especializada en seguridad de la salud, han revelado hoy detalles técnicos alrededor de seis vulnerabilidades a las que se refieren colectivamente como MDhex.

Las vulnerabilidades impactan en siete dispositivos de GE Healthcare destinados al monitoreo de signos vitales del paciente. Se trata de dispositivos instalados cerca de las camas de los pacientes, para recopilar datos de pacientes enfermos y enviarlos de vuelta a un servidor de telemetría, supervisado por el personal clínico. Según CyberMDX, los dispositivos afectados de GE Healthcare incluyen:

  • Centro de información central (CIC), versiones 4.xy 5.x
  • Estación Central CARESCAPE (CSCS), versiones 1.xy 2.x
  • Servidor de telemetría CARESCAPE, versiones 4.3, 4.2 y anteriores
  • Servidor / torre de telemetría Apex Pro, versiones 4.2 y anteriores
  • Monitor de paciente B450, versión 2.x
  • Monitor de paciente B650, versiones 1.xy 2.x
  • Monitor de paciente B850, versiones 1.xy 2.x

Las fallas de seguridad de MDhex, según los expertos de CyberMDX, permiten a un atacante con acceso a la red de un hospital hacerse cargo de los monitores de pacientes vulnerables y / o servidores de agregación de telemetría, y luego silenciar las alertas, poniendo en riesgo las vidas de los pacientes.

Además del aviso de CyberMDX, el Departamento de Seguridad Nacional También ha publicado hoy avisos de seguridad destinados a advertir a los proveedores de atención médica sobre las vulnerabilidades de MDhex.

Las advertencias DHS CISA y FDA contienen mitigaciones que los hospitales y clínicas pueden implementar para evitar que los atacantes exploten los dispositivos. El consejo general es colocar estos dispositivos en sus propias redes separadas, no conectadas a Internet y aisladas de cualquier otro sistema hospitalario.

Parches que vendrán en el segundo trimestre de 2020

Los parches no están disponibles al momento de la escritura. Un portavoz de GE Healthcare dijo ZDNet en un correo electrónico esta semana que la compañía planea lanzar actualizaciones de software en el segundo trimestre de 2020 para abordar los problemas MDhex reportados.

Según los expertos de CyberMDX, las vulnerabilidades son tan graves como pueden ser, con cinco de los seis errores de MDhex que reciben una calificación de 10 de 10 en la escala de gravedad CVSSv3.

CVE Gravedad Descripción
CVE-2020-6961 10/10 Clave privada SSH incluida en los dispositivos. Usando la clave privada, un atacante podría acceder y ejecutar código de forma remota en estos dispositivos, lo que podría incluir la disponibilidad del dispositivo, así como la confidencialidad e integridad de cualquier información que contenga.
CVE-2020-6962 10/10 Utilizando credenciales SMB codificadas que se comparten universalmente en una línea completa de dispositivos en la familia de productos CARESCAPE y GE Health, un atacante podría establecer una conexión SMB remota y recibir acceso de lectura / escritura a todos los archivos en el sistema.
CVE-2020-6963 10/10 El software MultiMouse / Kavoom KM se puede ejecutar para permitir el control remoto del teclado / mouse y el portapapeles de una máquina.
CVE-2020-6964 10/10 Las credenciales VNC codificadas se incluyen con los dispositivos GE afectados.
CVE-2020-6965 10/10 Los dispositivos afectados de GE Healthcare vienen preinstalados con una versión de Webmin (consola de administración web) que contiene vulnerabilidades conocidas.
CVE-2020-6966 8.5 / 10 Los dispositivos GE vienen precargados con un administrador de actualizaciones de software para facilitar la implementación remota de actualizaciones. Este administrador de actualizaciones de software permite la carga remota de archivos.

Sin embargo, un portavoz de GE Healthcare impugnó las calificaciones de gravedad, refutando que "en situaciones configuradas adecuadamente, la aplicación de una modificación de puntaje ambiental recomendada generaría las vulnerabilidades en un puntaje del Sistema de puntaje de vulnerabilidad común (CVSS) de 8.2" y no 10/10.

El proveedor de dispositivos de atención médica también dice que si los proveedores configuran estos dispositivos correctamente, en redes aisladas, el peligro es mucho menor para los hospitales y sus pacientes.

Los hospitales han sido notificados desde el año pasado.

GE Healthcare conoce estos errores desde el año pasado, e incluso antes de la divulgación pública de hoy, ha estado trabajando para reducir su impacto al advertir en secreto a los hospitales con anticipación.

"GE Healthcare comenzó a enviar cartas a los clientes de todo el mundo el 12 de noviembre de 2019, lo que recuerda a los usuarios la configuración adecuada de las redes de monitores de pacientes", dijo un portavoz de GE ZDNet.

"Aconsejamos a nuestros clientes que se aseguren de que sus redes estén configuradas y aisladas de manera adecuada para protegerse contra estas preocupaciones potenciales y mitigar el riesgo".

GE Healthcare dijo que también planea publicar estas mitigaciones en su portal web sección de seguridad, para que estén ampliamente disponibles.

Al momento de escribir este artículo, el vendedor dijo que "no estaba al tanto de ningún incidente en el que estas vulnerabilidades hayan sido explotadas en una situación clínica".

Este es el segundo conjunto importante de vulnerabilidades que GE Healthcare ha tratado durante el año pasado. CyberMDX encontró fallas de seguridad en varias de las máquinas de anestesia de la compañía el año pasado.



Enlace a la noticia original