Vulnerabilidades severas descubiertas en dispositivos médicos de GE



CISA ha publicado un aviso para seis CVE de alta gravedad para los monitores de pacientes GE Carescape, Apex Professional y los sistemas del Centro de información clínica.

La Agencia de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió hoy un aviso para seis vulnerabilidades de seguridad de alta gravedad en dispositivos de monitoreo de pacientes fabricados por GE Health care.

Estos defectos, denominados colectivamente «MDhex», podrían permitir a un atacante realizar cambios a nivel de software program de un dispositivo y, al hacerlo, interferir con su funcionalidad, dejarlo inutilizable, cambiar la configuración de alarma o exponer información de salud private (PHI). Su descubrimiento comenzó con los investigadores de seguridad de CyberMDX que investigan el CIC Professional, un producto común entre los clientes.

El CIC Professional es una estación de trabajo que el particular del hospital utiliza para ver los datos fisiológicos, las formas de onda y la demografía de sus pacientes. Los datos se transmiten desde múltiples monitores del lado del paciente y se recopilan a través de una pink compartida. CIC Pro se puede usar para administrar de manera centralizada los monitores de pacientes para cosas como admisión, sincronización de fecha y hora y establecer límites de alarma.

Los investigadores comenzaron la investigación cuando notaron que los dispositivos CIC Professional en el campo tenían puertos abiertos que ejecutaban una versión obsoleta y potencialmente problemática de Webmin. «Estaba permitiendo el tráfico entrante en una variedad de puertos de gestión», dice el jefe de investigación Elad Luz. «Con ese (descubrimiento), pensamos que haríamos un examen en profundidad de ese producto nosotros mismos».

Su análisis condujo a un complete de seis vulnerabilidades graves, como se enumera en CISA consultivo. A cinco se les asignó un puntaje de gravedad máxima CVSS de 10: CVE-2020-6961, CVE-2020-6963, CVE-2020-6964, CVE-2020-6966 y CVE-2020-6962. El sexto, CVE-2020-6965, recibió una puntuación de gravedad alta de 8.5. MDhex se informó a GE el 18 de septiembre de 2019, y hoy se divulgará formalmente después de un período de colaboración entre GE, CISA y CyberMDX para confirmar y evaluar las vulnerabilidades.

La preferred línea de productos Carescape, lanzada en 2007, ha sido adoptada por hospitales de todo el mundo. Los productos afectados por estas vulnerabilidades incluyen ciertas versiones de Carescape CIC, Apex Telemetry Server / Tower, Central Station (CSCS) Telemetry Server, keep an eye on de paciente B450, keep track of de paciente B650 y check de paciente B850. GE no reveló la cantidad de dispositivos afectados Sin embargo, CyberMDX cree que la foundation instalada es de cientos de miles.

Dentro de un clinic, estos dispositivos se implementan en una red que comparten con otros equipos de monitoreo, que también consta de dispositivos vulnerables. Si un clinic tiene uno de estos productos afectados, es probable que tenga los otros, señala Luz.

Cada falla existe en un aspecto diferente del diseño y configuración del dispositivo. CVE-2020-6961 es una vulnerabilidad SSH. La configuración de un servidor SSH generalmente contiene un archivo que contiene claves públicas de entidades autorizadas para conectarse. En dispositivos vulnerables, la configuración también tiene una clave privada, que es la misma en toda la línea de productos médicos.

«La misma clave privada se comparte universalmente en toda una línea de dispositivos en la familia de productos CARESCAPE y GE Health care», escriben los investigadores en un entrada en el web site. «Usando la clave privada, un atacante podría acceder y ejecutar código de forma remota en estos dispositivos, lo que podría incluir la disponibilidad del dispositivo, así como la confidencialidad e integridad de cualquier información que tenga».

El problema de las credenciales codificadas también existe en la vulnerabilidad de bloqueo de mensajes del servidor de Microsoft CVE-2020-6963. Se puede acceder a las credenciales subyacentes a esta falla al recuperar la contraseña en el sistema operativo Windows XP de los dispositivos afectados. Con estas credenciales, un atacante podría entrar en otros dispositivos. CVE-2020-6964 existe en el software MultiMouse / Kavoon KM, que permite el command remoto del teclado, el mouse y el portapapeles de un dispositivo. El error podría permitir a un atacante abusar de esta funcionalidad y hacerse cargo de los dispositivos sin ningún regulate de credenciales para alterar la configuración del dispositivo y cambiar los datos.

VNC vulnerabilidad CVE-2020-6966 permite el manage remoto en VNC, un application utilizado para el acceso de escritorio remoto. Las credenciales para esto se almacenan de forma insegura y se pueden encontrar en la documentación del producto disponible públicamente y de fácil búsqueda. CVE-2020-6962 pertenece a la versión obsoleta de Webmin (1.2.5) en los dispositivos afectados, que están expuestos a exploits conocidos en la naturaleza.

Estas vulnerabilidades generaron los puntajes más altos porque permiten fácilmente a los piratas informáticos ejecutar código remoto, lo que Luz considera «el remaining del juego» para la mayoría de los ataques cibernéticos.

«Una vez que obtiene esa ejecución remota de código, puede (alterar) la funcionalidad del dispositivo, tal vez dejarlo inutilizable, tal vez hacer que muestre datos falsos, cosas así», explica. Si bien no está claro por qué un atacante podría atacar un dispositivo médico específico, el nivel de acceso otorgado por estas vulnerabilidades podría permitir un ataque de ransomware a gran escala en un objetivo de atención médica.

GE planea proporcionar parches e información de seguridad adicional para los usuarios afectados durante los próximos meses. Los usuarios pueden verificar su sitio internet para más actualizaciones o contacte a la compañía directamente. Mientras tanto, se ofrecen mitigaciones en la publicación del blog site de CyberMDX.

Contenido relacionado:

Kelly Sheridan es la Editora de private de Darkish Reading, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance policy & Technological know-how, donde cubrió asuntos financieros … Ver biografía completa

Más concepts





Enlace a la noticia unique