GE医疗集团的患者监护设备中发现安全漏洞

今年1月，由GE医疗集团、DHS网络安全和基础设施安全局（CISA）以及医疗网络安全公司CyberMDX联合制造的患者监护设备中发现了一些潜在的安全漏洞。

这些漏洞是由CyberMDX研究人员在对GE公司CARESCAPE临床信息中心（CIC）的Pro设备进行研究期间发现的，分析结果显示在CIC Pro、病人监护仪、服务器和遥测系统中一共存在六个安全漏洞。

这些漏洞已经被CyberMDX统称为MDhex，其中大多数的漏洞被指定具有较严重的等级。据网络安全公司称，这些漏洞可以使设备无法使用或干扰其使用功能，更改警报设置并获得受保护的健康信息（PHI）。

这些漏洞中的一个漏洞可以建立远程SMB连接，并在系统上读取或写入文件。攻击者可以使用在CARESCAPE设备之间共享的硬编码证书连接到目标系统，而这个硬编码证书可以通过在受影响设备中嵌入Windows XP操作系统，然后在系统上执行密码恢复来轻松获得。

可以利用这些漏洞之一建立远程SMB连接并在系统上读取或写入文件。攻击者可以使用在CARESCAPE设备之间共享的硬编码证书连接到目标系统，而这个硬编码证书可以通过在受影响的设备中嵌入的Windows XP操作系统上执行密码恢复来轻松获得。

CyberMDX研究人员还发现了硬编码的VNC证书，该证书可以从产品文档中轻松获得。此外，GE 医疗集团还无意间公开了SSH秘钥，从而使黑客可以远程连接到设备并执行恶意代码。

另一个漏洞与KaVoom的存在有关！KM键盘鼠标软件，使用户可以集中管理多个工作站。尽管此功能对合法用户很有用，但恶意行为者也可能滥用此功能来更改设备设置、更改数据。

研究人员还发现，受影响设备上存在的Webmin系统配置工具很旧，并且充满了已知漏洞。同时，他们发现在受影响的GE设备上运行的软件更新管理器无法正确验证更新，从而使攻击者可能导致DoS状况或安装恶意软件。

CyberMDX的研究负责人埃拉德·卢兹（Elad Luz）告诉《安全周刊》，这些漏洞，尤其是涉及硬编码证书的漏洞，利用起来并不难。同时鉴于医院通常不是与互联网隔离开来的，因此攻击者有可能通过互联网进行攻击。

GE 医疗集团正在开发针对这些漏洞的补丁程序，并且该更新程序还将包含其他增强安全性的功能，预计该程序在2020年第二季度发布。同时，该公司建议已使用受影响设备的机构遵循网络管理的最优方法，以防止设备受到潜在攻击。

目前，GE 医疗集团没有发现任何涉及这些漏洞的事件，并指出监视设备中仅仅包含最小的PHI（例如名称和基本信息），但不包含存储的信息的数据库。此外，即使这些最少的数据也只能在短时间内存储在监视设备上（具体取决于设备型号及其配置），并且在大多数情况下，这些数据应在患者出院时被删除。

这不是CyberMDX第一次发现GE 医疗集团的设备中存在缺陷。去年，这家网络安全公司还报告发现了存在于麻醉机中的漏洞。

GE公司最初低估了漏洞的严重性，并表示它们不会给患者带来任何风险，但后来又承认，利用该漏洞会带来严重后果。

翻译：孙中豪 何跃鹰

https://www.securityweek.com/vulnerabilities-found-ge-healthcare-patient-monitoring-product

声明：本文来自关键基础设施安全应急响应中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。