Бесплатно Экспресс-аудит сайта:

25.01.2020

В медицинском оборудовании GE Healthcare обнаружены критические уязвимости

Специалисты из компании CyberMDX обнаружили шесть уязвимостей в ряде медицинских устройств компании GE Healthcare, пять из которых являются критическими. Эксплуатация проблем, получивших общее название «MDhex», позволяет злоумышленникам отключать устройства, собирать персональную медицинскую информацию, изменять настройки сигналов тревоги и удаленно выполнять произвольный код.

Уязвимости содержатся в версиях CARESCAPE Central Information Center 4.X и 5.X, телеметрическом сервере ApexPro (4.2 и ниже), Central Station (1.X и 2X), Telemetry Server (4.2 и ниже, а также 4.3), мониторах пациента B450 (2.X), B650 (1.X и 2.X) и B850 (1.X и 2.X).

«Хотя компания GE Healthcare отказалась комментировать точное количество уязвимых устройств, используемых по всему миру, предполагается, что их количество исчисляется сотнями тысяч», — отметили эксперты.

Эксплуатация первой уязвимости (CVE-2020-6961) позволяет злоумышленнику получить доступ к закрытому SSH-ключу в файлах конфигурации в связи с хранением учетных данных в незашифрованном виде. Вторая уязвимость (CVE-2020-6962) связана с некорректной проверкой входных данных в web-утилите конфигурации системы. Ее эксплуатация позволяет удаленно выполнить произвольный код. Третья (CVE-2020-6963) проблема позволяет получить встроенные учетные данные в ОС Windows XP Embedded (XPe) по SMB-протоколу и удаленно выполнить произвольный код. Четвертая уязвимость (CVE-2020-6964) содержится в интегрированном сервисе для переключения клавиатур уязвимых устройств. Отсутствие аутентификации для критически важных функций позволяет злоумышленнику получить удаленный доступ с клавиатуры. Пятая уязвимость (CVE-2020-6966) связана с использованием слабой схемы шифрования для управления удаленным рабочим столом, которая позволяет злоумышленнику удаленно выполнить код. Данные уязвимости получили максимальную оценку в 10 баллов по шкале CVSS v3.1.

Последняя уязвимость (CVE-2020-6965) содержится в механизме обновления программного обеспечения. Ее эксплуатация позволяет авторизованному злоумышленнику через специально сформированный пакет обновления загружать произвольные файлы в систему. Уязвимость получила оценку в 8,5 балла по шкале CVSS.

Эксперты сообщили GE об обнаруженных уязвимостях, и компания в настоящее время разрабатывает патчи для них.