Уязвимость MDHexRay затрагивает более 100 медицинских систем GE Healthcare — yo-robot.ru

GE Healthcare MDHexRay медицинское оборудование CyberMDX

Преступник может получить доступ к личной информации о здоровье пациентов, и даже изменять данные.

Уязвимость в проприетарном программном обеспечении GE Healthcare для управления медицинскими устройствами визуализации может поставить под угрозу конфиденциальность здоровья пациентов и, возможно, их жизнь.

Проблема получила название MDHexRay (CVE-2020-25179) и оценку в 9,8 балла из 10 по шкале CVSS. Она затрагивает более 100 моделей аппаратов КТ, МРТ и рентгеновских аппаратов в десятке линеек продуктов компании. Программное обеспечение GE для управления работает поверх операционной системы на базе Unix, установленной в медицинских системах визуализации, чтобы обеспечить удаленное обслуживание и процедуры обновления.

Компания CyberMDX, занимающаяся кибербезопасностью в сфере здравоохранения, обнаружила уязвимость. MDHexRay связана с использованием встроенных учетных данных при каждой установке ПО для аутентификации на серверах GE для задач обновления и обслуживания. Изменение данных аутентификации возможно только со стороны производителя, когда клиенты запрашивают их через систему поддержки GE Healthcare.

Пока учетные данные не будут изменены производителем оборудования, учреждения с уязвимыми устройствами должны следовать рекомендациям по управлению сетью (политикам доступа) и безопасности. CyberMDX рекомендует ограничить следующие порты до состояния прослушивания: FTP (порт 21), SSH (порт 22), Telnet (порт 23), REXEC (порт 512).

По словам экспертов, эксплуатировать MDHexRay довольно просто. Использование возможно из внутренней сети больницы или клиники и дает злоумышленнику доступ для чтения и записи на уязвимом устройстве. Преступник может получить доступ к личной информации о здоровье, и даже манипулировать данными, тем самым влияя на результаты определенной терапии. Также существует возможность вызвать атаку типа «отказа в обслуживании».

Источник: securitylab.ru

Ещё новости

Вы можете оставить комментарий, или ссылку на Ваш сайт.


Оставить комментарий

Вы должны войти, чтобы иметь возможность оставлять комментарии.