Преступник может получить доступ к личной информации о здоровье пациентов, и даже изменять данные.
Уязвимость в проприетарном программном обеспечении GE Healthcare для управления медицинскими устройствами визуализации может поставить под угрозу конфиденциальность здоровья пациентов и, возможно, их жизнь.
Проблема получила название MDHexRay (CVE-2020-25179) и оценку в 9,8 балла из 10 по шкале CVSS. Она затрагивает более 100 моделей аппаратов КТ, МРТ и рентгеновских аппаратов в десятке линеек продуктов компании. Программное обеспечение GE для управления работает поверх операционной системы на базе Unix, установленной в медицинских системах визуализации, чтобы обеспечить удаленное обслуживание и процедуры обновления.
Компания CyberMDX, занимающаяся кибербезопасностью в сфере здравоохранения, обнаружила уязвимость. MDHexRay связана с использованием встроенных учетных данных при каждой установке ПО для аутентификации на серверах GE для задач обновления и обслуживания. Изменение данных аутентификации возможно только со стороны производителя, когда клиенты запрашивают их через систему поддержки GE Healthcare.
Пока учетные данные не будут изменены производителем оборудования, учреждения с уязвимыми устройствами должны следовать рекомендациям по управлению сетью (политикам доступа) и безопасности. CyberMDX рекомендует ограничить следующие порты до состояния прослушивания: FTP (порт 21), SSH (порт 22), Telnet (порт 23), REXEC (порт 512).
По словам экспертов, эксплуатировать MDHexRay довольно просто. Использование возможно из внутренней сети больницы или клиники и дает злоумышленнику доступ для чтения и записи на уязвимом устройстве. Преступник может получить доступ к личной информации о здоровье, и даже манипулировать данными, тем самым влияя на результаты определенной терапии. Также существует возможность вызвать атаку типа «отказа в обслуживании».
Храним важное в надежном месте