RTV

GE umieszcza domyślne hasło w urządzeniach radiologicznych, narażając sieci opieki zdrowotnej

 skomplikowanego, onieśmielającego urządzenia medycznego.

Dziesiątki produktów radiologicznych firmy GE Healthcare zawierają krytyczną lukę, która zagraża sieciom szpitali i innych placówek służby zdrowia korzystających z tych urządzeń – poinformowali we wtorek przedstawiciele rządu USA i prywatnej firmy ochroniarskiej.

Urządzenia – używane do tomografii komputerowej, rezonansu magnetycznego, promieni rentgenowskich, mammografii, ultradźwięków i pozytonowej tomografii emisyjnej – używają domyślnego hasła w celu regularnej konserwacji. Hasła są dostępne dla każdego, kto wie, gdzie w Internecie szukać. Brak odpowiednich ograniczeń dostępu pozwala urządzeniom łączyć się ze złośliwymi serwerami, a nie tylko z serwerami wyznaczonymi przez GE Healthcare. Atakujący mogą wykorzystać te niedociągnięcia, nadużywając protokołów konserwacji w celu uzyskania dostępu do urządzeń. Stamtąd osoby atakujące mogą wykonać złośliwy kod lub przeglądać lub modyfikować dane pacjentów przechowywane na urządzeniu lub serwerach szpitala lub placówki opieki zdrowotnej.

Co gorsza, klienci nie mogą samodzielnie naprawić luki. Zamiast tego muszą poprosić zespół wsparcia GE Healthcare o zmianę poświadczeń. Klienci, którzy nie złożą takiej prośby, będą nadal polegać na domyślnym haśle. Ostatecznie producent urządzenia dostarczy poprawki i dodatkowe informacje.

Luka ma ocenę ważności w CVSS na 9,8 na 10 ze względu na wpływ luki w połączeniu z łatwością jej wykorzystania. Firma bezpieczeństwa CyberMDX odkryła lukę i prywatnie zgłosiła to producentowi w maju. Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury zaleca poszkodowanym dostawcom opieki zdrowotnej jak najszybsze podjęcie działań łagodzących.

W oświadczeniu urzędnicy GE Healthcare napisali:

Nie wiemy o żadnym nieuprawnionym dostępie do danych ani o incydencie, w którym ta potencjalna luka została wykorzystana w sytuacji klinicznej. Przeprowadziliśmy pełną ocenę ryzyka i stwierdziliśmy, że nie ma obaw o bezpieczeństwo pacjentów. Dbanie o bezpieczeństwo, jakość i bezpieczeństwo naszych urządzeń jest dla nas najwyższym priorytetem.

Zapewniamy pomoc na miejscu, aby upewnić się, że dane uwierzytelniające są prawidłowo zmienione i potwierdzamy prawidłową konfigurację zapory produktu. Ponadto zalecamy zakładom, w których znajdują się te urządzenia, przestrzeganie najlepszych praktyk w zakresie zarządzania siecią i bezpieczeństwa.

Urządzenia, których dotyczy problem, obejmują:

  • Stacja robocza i serwer Advantage
  • Optima
  • Innova
  • LightSpeed ​​Pro 16
  • LightSpeed ​​RT 16
  • BrightSpeed, Discovery i Optima
  • Revolution EVO
  • Revolution Frontier
  • Discovery IQ
  • Odyssey
  • Odkrycie
  • Xeleris
  • SIGNA HD / HDxT 3.0T
  • Bravo 355 / Optima 360
  • Seno 2000D, DS, Essential
  • Senographe Prisztina
  • Definium, Brivo i Discovery
  • Logiq
  • Voluson

Urządzenia zawierają zintegrowany komputer z systemem operacyjnym opartym na systemie Unix. Oprogramowanie firmowe działające na systemie operacyjnym wykonuje różne zadania związane z zarządzaniem, w tym konserwację i aktualizacje wykonywane przez firmę GE Healthcare przez Internet. Konserwacja wymaga, aby maszyny miały włączone różne usługi i otwarte porty internetowe. Usługi i porty obejmują:

  • FTP (port 21) – używany przez modalność do pobierania plików wykonywalnych z serwera serwisowego
  • SSH (port 22)
  • Telnet (port 23) – używany przez serwer konserwacyjny do uruchamiania poleceń powłoki na urządzeniu.
  • REXEC (port 512) – używany przez serwer konserwacyjny do uruchamiania poleceń powłoki na urządzeniu.

CyberMDX powiedział, że użytkownicy urządzeń powinni wdrożyć zasady sieciowe, które ograniczają porty do trybu nasłuchiwania tylko dla połączeń urządzeń.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook