NHS警告GE Health Equipment的严重漏洞

根据医疗网络安全专家Cyber​​ Mdxand美国网络安全机构Cisa的新披露，世界各地的医疗保健组织无意中施加风险的健康和个人数据。

CISA于1月23日发布了一份咨询，其中包含六个高度严重的常见漏洞和暴露（CVES），用于广泛使用的各种通用电气（GE）患者监测产品，Carescape，Apexpro和临床信息中心（CIC）系统。

“我们的目标是将这些问题带来了医疗保健提供者的注意事项，因此可以快速解决 - 促进更安全，更安全的医院，”Cyber​​ Mdx Research Head Elad Luz说。“因此，每一条披露都是正确方向的另一台阶。”

该漏洞统称为MDHEX，当他们调查了GE的Carescape CIC Pro工作站中的使用不推荐的网民版本和打开端口配置时，LUZ和他的团队被Luz和他的团队揭示。

它们在Carescape产品线中出现了六个高度严重性的设计缺陷，可以集体使黑客能够对设备软件进行更改，包括后果，包括留下重要的医疗设备无法使用，干扰其功能，改变医疗报警设置和暴露患者'健康数据。

该漏洞每个铰链都在各种设备的设计和配置的不同方面 - 一个涉及可以启用安全套接字shell（ssh）滥用的公开私钥，而另一个凭借硬编码凭据，另一个启用Rogue SECT消息块（SMB）连接在Windows XP嵌入式操作系统中。

常见的线程是它们都有一个直接的路径来妥协，无论是通过非法控制，读取或写入或上载功能。

目前尚不知道世界各地有多少受影响的设备，但根据Cyber​​ Mdx的说法，它可能是数十万。

凭借CISA和GE，Cyber​​ MDX自2019年9月以来一直在工作，漏洞，最终在协调披露中，虽然GE尚未提供任何可用的补丁，但LUZ说：“GE治疗此事的速度，响应性和严重性非常令人鼓舞。“与此同时，仍有工作要做，我们渴望看到这些重要设备的GE发布安全补丁，”他补充道。

根据CISA的说法，由于漏洞，没有发现的网络攻击已经发生，但直到可用补丁，该机构和GE已经提出了一些建议。

这些包括正确隔离设备所在的关键任务和/或信息交换网络，这意味着攻击者需要对设备的物理访问，重新配置路由器和防火墙来阻止从网络外部发起的流量，限制受影响的物理访问站，服务器和网络，更改Webmin的默认密码，随后关注密码管理最佳实践。

Synopsys高级安全战略家Jonathan Knudsen说：“在医疗保健中，软件的漏洞可以暴露设备和系统来攻击或滥用，最终可能对患者健康产生不利影响。降低风险是一个发现和修复漏洞的问题。研究人员通过谨慎地通知制造商，允许时间对公众进行协调披露的时候做正确的事。

“虽然安全研究是提高行业整体状态的重要组成部分，但在建造产品时，这不是最有效的风险，”虽然在建造产品时保持低位风险。““删除漏洞的最佳方式是通过使用安全的开发生命周期（SDLC）尽快找到它们。在产品开发的每个阶段，漏洞都被确定并根除。

“安全是SDLC每个阶段的一部分。由此产生的软件产品更安全，更安全，更强大，这意味着它们对建筑商及其客户的风险较低。在长期运行中，对软件安全性的主动方法导致较低的风险和降低成本。“