今年1月,由GE医疗集团、DHS网络安全和基础设施安全局(CISA)以及医疗网络安全公司CyberMDX联合制造的患者监护设备中发现了一些潜在的安全漏洞。
这些漏洞是由CyberMDX研究人员在对GE公司CARESCAPE临床信息中心(CIC)的Pro设备进行研究期间发现的,分析结果显示在CIC Pro、病人监护仪、服务器和遥测系统中一共存在六个安全漏洞。
这些漏洞已经被CyberMDX统称为MDhex,其中大多数的漏洞被指定具有较严重的等级。据网络安全公司称,这些漏洞可以使设备无法使用或干扰其使用功能,更改警报设置并获得受保护的健康信息(PHI)。
这些漏洞中的一个漏洞可以建立远程SMB连接,并在系统上读取或写入文件。攻击者可以使用在CARESCAPE设备之间共享的硬编码证书连接到目标系统,而这个硬编码证书可以通过在受影响设备中嵌入Windows XP操作系统,然后在系统上执行密码恢复来轻松获得。
可以利用这些漏洞之一建立远程SMB连接并在系统上读取或写入文件。攻击者可以使用在CARESCAPE设备之间共享的硬编码证书连接到目标系统,而这个硬编码证书可以通过在受影响的设备中嵌入的Windows XP操作系统上执行密码恢复来轻松获得。
CyberMDX研究人员还发现了硬编码的VNC证书,该证书可以从产品文档中轻松获得。此外,GE 医疗集团还无意间公开了SSH秘钥,从而使黑客可以远程连接到设备并执行恶意代码。
另一个漏洞与KaVoom的存在有关!KM键盘鼠标软件,使用户可以集中管理多个工作站。尽管此功能对合法用户很有用,但恶意行为者也可能滥用此功能来更改设备设置、更改数据。
研究人员还发现,受影响设备上存在的Webmin系统配置工具很旧,并且充满了已知漏洞。同时,他们发现在受影响的GE设备上运行的软件更新管理器无法正确验证更新,从而使攻击者可能导致DoS状况或安装恶意软件。
CyberMDX的研究负责人埃拉德·卢兹(Elad Luz)告诉《安全周刊》,这些漏洞,尤其是涉及硬编码证书的漏洞,利用起来并不难。同时鉴于医院通常不是与互联网隔离开来的,因此攻击者有可能通过互联网进行攻击。
GE 医疗集团正在开发针对这些漏洞的补丁程序,并且该更新程序还将包含其他增强安全性的功能,预计该程序在2020年第二季度发布。同时,该公司建议已使用受影响设备的机构遵循网络管理的最优方法,以防止设备受到潜在攻击。
目前,GE 医疗集团没有发现任何涉及这些漏洞的事件,并指出监视设备中仅仅包含最小的PHI(例如名称和基本信息),但不包含存储的信息的数据库。此外,即使这些最少的数据也只能在短时间内存储在监视设备上(具体取决于设备型号及其配置),并且在大多数情况下,这些数据应在患者出院时被删除。
这不是CyberMDX第一次发现GE 医疗集团的设备中存在缺陷。去年,这家网络安全公司还报告发现了存在于麻醉机中的漏洞。
GE公司最初低估了漏洞的严重性,并表示它们不会给患者带来任何风险,但后来又承认,利用该漏洞会带来严重后果。
翻译:孙中豪 何跃鹰
https://www.securityweek.com/vulnerabilities-found-ge-healthcare-patient-monitoring-product
声明:本文来自关键基础设施安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。