NHS警告GE Health Equipment的严重漏洞
自由全球欧洲震撼了行政领导力
腾讯云收益多层云安全认证
内阁办公室推出数据处理评审
政府从地平线诉讼中的邮局决定距离
DCMS旨在外面的专家们在支出审查之前审查政府数据分享
基于MAC的安全威胁突破窗口
俄罗斯的VTB和Rostelecom专注于大数据
Lorca宣布推出新的20个安全扩展队伍的队列
为什么亚波蹄船员呼吁政府支付地平线试验费用
Harvey Nash Hires第一个女首席执行官
分析师表示,美国不太可能在华为随时迫使华为的收入
爱沙尼亚Cio为英国IT专业人士提供希望,因为Brexit删除了权利
万事达卡打开欧洲安全弹性单位
工业集团推出以制定下水道网络中的光纤部署标准
IR35私营部门改革:招聘产业敦促大臣4月2020年4月推出
IR35法庭认为全国项目经理失去了7万英镑的税收票据诉诸HMRC
爱沙尼亚给予公民Alexa-Lise的公共服务
全球使用的智能手机市场同比增长17.6%
高科技公司提供咨询业的提升
Travelex警告客户可以提醒手机诈骗
美国太平洋西北国家实验室水龙头探索5G潜力
CKH IOD的眼睛eSeye以满足对IoT连接设备的需求不断增加
LGBTQ +社交应用程序Grindr被指控违反GDPR
Telia首先使用思科首先索赔4月
高街银行在旅行后三周内破坏破坏
MLL Telecom指定新首席执行官
IBM的建筑师促销奖励340亿美元的红帽交易
Ericsson Spectrum分享现在在全球市售
Aeris Gears Up用于连接的车辆合资与大众
Windows 7的:死或生?
检查点承诺结束安全更新
亚马逊寻找600名熟练工人的曼彻斯特办公室
AWS揭示竞争对手的风险威胁其公共云在Q4结果期间的优势
遇到警察在运作上发动面部识别
Microsoft在周二的另一个沉重补丁中修复了26个关键漏洞
思科表示,数据隐私福利突出的福利
三分之二的英国医疗保健组织去年违反了
法院聆讯,Wikileaks Asserange通过泄露文件的名称披露名称,“充满风险”
美国酒店集团Ditches Datentre for Nasuni Cloud NAS
Etsy确认为谷歌云完成两年迁移
Chancellor Rishi Sunak的2020年预算泵22亿英镑进入研发
EE Scoops在英国移动连接评估中的最高评级
惠普公司:价格是错误的
灾难恢复故障转移选择:同步镜,P2V和云
NHS Digital任命新的CISO
靴子试用私人电子处方
SPRY通过多功能员4G覆盖范围取消P&J Arena死区
NCSC推出网络安全多样性研究
华为推出MWC产品组合LED€2,500 5G智能手机
您的位置:首页 >科技 > 消费电子 >

NHS警告GE Health Equipment的严重漏洞

2021-09-10 19:44:23 [来源]:

根据医疗网络安全专家Cyber​​ Mdxand美国网络安全机构Cisa的新披露,世界各地的医疗保健组织无意中施加风险的健康和个人数据。

CISA于1月23日发布了一份咨询,其中包含六个高度严重的常见漏洞和暴露(CVES),用于广泛使用的各种通用电气(GE)患者监测产品,Carescape,Apexpro和临床信息中心(CIC)系统。

“我们的目标是将这些问题带来了医疗保健提供者的注意事项,因此可以快速解决 - 促进更安全,更安全的医院,”Cyber​​ Mdx Research Head Elad Luz说。“因此,每一条披露都是正确方向的另一台阶。”

该漏洞统称为MDHEX,当他们调查了GE的Carescape CIC Pro工作站中的使用不推荐的网民版本和打开端口配置时,LUZ和他的团队被Luz和他的团队揭示。

它们在Carescape产品线中出现了六个高度严重性的设计缺陷,可以集体使黑客能够对设备软件进行更改,包括后果,包括留下重要的医疗设备无法使用,干扰其功能,改变医疗报警设置和暴露患者'健康数据。

该漏洞每个铰链都在各种设备的设计和配置的不同方面 - 一个涉及可以启用安全套接字shell(ssh)滥用的公开私钥,而另一个凭借硬编码凭据,另一个启用Rogue SECT消息块(SMB)连接在Windows XP嵌入式操作系统中。

常见的线程是它们都有一个直接的路径来妥协,无论是通过非法控制,读取或写入或上载功能。

目前尚不知道世界各地有多少受影响的设备,但根据Cyber​​ Mdx的说法,它可能是数十万。

凭借CISA和GE,Cyber​​ MDX自2019年9月以来一直在工作,漏洞,最终在协调披露中,虽然GE尚未提供任何可用的补丁,但LUZ说:“GE治疗此事的速度,响应性和严重性非常令人鼓舞。“与此同时,仍有工作要做,我们渴望看到这些重要设备的GE发布安全补丁,”他补充道。

根据CISA的说法,由于漏洞,没有发现的网络攻击已经发生,但直到可用补丁,该机构和GE已经提出了一些建议。

这些包括正确隔离设备所在的关键任务和/或信息交换网络,这意味着攻击者需要对设备的物理访问,重新配置路由器和防火墙来阻止从网络外部发起的流量,限制受影响的物理访问站,服务器和网络,更改Webmin的默认密码,随后关注密码管理最佳实践。

Synopsys高级安全战略家Jonathan Knudsen说:“在医疗保健中,软件的漏洞可以暴露设备和系统来攻击或滥用,最终可能对患者健康产生不利影响。降低风险是一个发现和修复漏洞的问题。研究人员通过谨慎地通知制造商,允许时间对公众进行协调披露的时候做正确的事。

“虽然安全研究是提高行业整体状态的重要组成部分,但在建造产品时,这不是最有效的风险,”虽然在建造产品时保持低位风险。““删除漏洞的最佳方式是通过使用安全的开发生命周期(SDLC)尽快找到它们。在产品开发的每个阶段,漏洞都被确定并根除。

“安全是SDLC每个阶段的一部分。由此产生的软件产品更安全,更安全,更强大,这意味着它们对建筑商及其客户的风险较低。在长期运行中,对软件安全性的主动方法导致较低的风险和降低成本。“

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。