NHS警告GE Health Equipment的严重漏洞
根据医疗网络安全专家Cyber Mdxand美国网络安全机构Cisa的新披露,世界各地的医疗保健组织无意中施加风险的健康和个人数据。
CISA于1月23日发布了一份咨询,其中包含六个高度严重的常见漏洞和暴露(CVES),用于广泛使用的各种通用电气(GE)患者监测产品,Carescape,Apexpro和临床信息中心(CIC)系统。
“我们的目标是将这些问题带来了医疗保健提供者的注意事项,因此可以快速解决 - 促进更安全,更安全的医院,”Cyber Mdx Research Head Elad Luz说。“因此,每一条披露都是正确方向的另一台阶。”
该漏洞统称为MDHEX,当他们调查了GE的Carescape CIC Pro工作站中的使用不推荐的网民版本和打开端口配置时,LUZ和他的团队被Luz和他的团队揭示。
它们在Carescape产品线中出现了六个高度严重性的设计缺陷,可以集体使黑客能够对设备软件进行更改,包括后果,包括留下重要的医疗设备无法使用,干扰其功能,改变医疗报警设置和暴露患者'健康数据。
该漏洞每个铰链都在各种设备的设计和配置的不同方面 - 一个涉及可以启用安全套接字shell(ssh)滥用的公开私钥,而另一个凭借硬编码凭据,另一个启用Rogue SECT消息块(SMB)连接在Windows XP嵌入式操作系统中。
常见的线程是它们都有一个直接的路径来妥协,无论是通过非法控制,读取或写入或上载功能。
目前尚不知道世界各地有多少受影响的设备,但根据Cyber Mdx的说法,它可能是数十万。
凭借CISA和GE,Cyber MDX自2019年9月以来一直在工作,漏洞,最终在协调披露中,虽然GE尚未提供任何可用的补丁,但LUZ说:“GE治疗此事的速度,响应性和严重性非常令人鼓舞。“与此同时,仍有工作要做,我们渴望看到这些重要设备的GE发布安全补丁,”他补充道。
根据CISA的说法,由于漏洞,没有发现的网络攻击已经发生,但直到可用补丁,该机构和GE已经提出了一些建议。
这些包括正确隔离设备所在的关键任务和/或信息交换网络,这意味着攻击者需要对设备的物理访问,重新配置路由器和防火墙来阻止从网络外部发起的流量,限制受影响的物理访问站,服务器和网络,更改Webmin的默认密码,随后关注密码管理最佳实践。
Synopsys高级安全战略家Jonathan Knudsen说:“在医疗保健中,软件的漏洞可以暴露设备和系统来攻击或滥用,最终可能对患者健康产生不利影响。降低风险是一个发现和修复漏洞的问题。研究人员通过谨慎地通知制造商,允许时间对公众进行协调披露的时候做正确的事。
“虽然安全研究是提高行业整体状态的重要组成部分,但在建造产品时,这不是最有效的风险,”虽然在建造产品时保持低位风险。““删除漏洞的最佳方式是通过使用安全的开发生命周期(SDLC)尽快找到它们。在产品开发的每个阶段,漏洞都被确定并根除。
“安全是SDLC每个阶段的一部分。由此产生的软件产品更安全,更安全,更强大,这意味着它们对建筑商及其客户的风险较低。在长期运行中,对软件安全性的主动方法导致较低的风险和降低成本。“