美国政府和一家私人安全公司的官员周二表示,GE Healthcare的数十种放射学产品都包含一个严重漏洞,威胁使用该设备的医院和其他医疗服务提供商的网络。
这些设备(用于CT扫描,MRI,X射线,乳房X线照片,超声和正电子发射断层扫描)使用默认密码来接受定期维护。密码可供知道互联网上何处的任何人使用。缺少适当的访问限制使得设备无法连接到恶意服务器,而只能连接到GE Healthcare指定的服务器。攻击者可以通过滥用维护协议来访问设备,从而利用这些缺点。攻击者可以从那里执行恶意代码,或者查看或修改存储在设备或医院或医疗服务提供者服务器上的患者数据。
麻烦的是,客户无法自行修复该漏洞。相反,他们必须要求GE Healthcare支持团队更改凭据。未提出此类请求的客户将继续使用默认密码。最终,设备制造商将提供补丁程序和其他信息。
由于漏洞的影响以及易于利用,该漏洞的CVSS严重等级为9.8(十分之十)。安全公司CyberMDX发现了该漏洞,并于5月私下将其报告给制造商。美国网络安全和基础设施安全局建议受影响的医疗保健提供商尽快采取缓解措施。
我们不知道有任何未经授权的访问,或在临床情况下利用此潜在漏洞的任何事件。我们已经进行了全面的风险评估,并得出结论,没有患者安全问题。维护我们设备的安全性,质量和安全性是我们的首要任务。
我们提供现场帮助,以确保正确更改凭据并确认产品防火墙的正确配置。此外,我们建议这些设备所处的设施遵循网络管理和安全性最佳做法。
这些设备包含运行基于Unix操作系统的集成计算机。在操作系统之上运行的专有软件执行各种管理任务,包括GE Healthcare通过Internet执行的维护和更新。维护要求机器打开各种服务并打开Internet端口。服务和端口包括:
FTP(端口21)—方式用于从维护服务器获取可执行文件 Telnet(端口23)—维护服务器用于在设备上运行Shell命令。 REXEC(端口512)—维护服务器用于在设备上运行Shell命令。 CyberMDX说,设备用户应实施网络策略,将端口限制为仅用于设备连接的侦听模式。