CyberMDX-Forschungsteam entdeckt Sammlung von Schwachstellen bei medizinischen Geräten von GE -- „MDhex"
CISA ICS hat ein Beratungsdokument mit 6 schwerwiegenden CVEs (Common Vulnerabilities and Exposures: häufige Sicherheitsrisiken und Sicherheitslücken) für die Systeme von GE CARESCAPE, ApexPro und Clinical Information Center (CIC) herausgegeben.
NEW YORK, 24. Januar 2020 /PRNewswire/ -- Eine Sammlung von sechs Cybersicherheits-Schwachstellen wurde in einer Reihe von in Krankenhäusern beliebten Geräten von GE Healthcare entdeckt, teilte die Cybersecurity and Infrastructure Security Agency (CISA) des US Department of Homeland Security heute mit. Die vom CyberMDX, einem Cybersicherheitsanbieter für das Gesundheitswesen, entdeckten Schwachstellen könnten es einem Angreifer ermöglichen, Änderungen auf der Softwareebene des Geräts vorzunehmen, was zu möglichen Auswirkungen führen kann, wie der Unbrauchbarkeit des Geräts, der Beeinträchtigung der Gerätefunktionalität, bestimmter Änderungen der Alarmeinstellungen und der Gefährdung durch PHI (Protected Health Information: geschützte Gesundheitsinformationen).
Das CyberMDX-Forschungsteam fand diese Schwachstellen — zusammenfassend als „MDhex" bezeichnet — bei der Untersuchung der Verwendung veralteter Webmin-Versionen und potenziell problematischer offener Port-Konfigurationen in der CARESCAPE CIC Pro-Workstation von GE. Die Untersuchung ergab schließlich sechs verschiedene Konstruktionsfehler, die allesamt hochgradige Sicherheitslücken in den Systemen der GE CARESCAPE-Patientenmonitore, des ApexPro und des Clinical Information Center (CIC) darstellten. Fünf der Schwachstellen erhielten gemäß CVSS (Common Vulnerability Scoring System: Bewertung von Schwachstellen) (v3.1)-Werte von 10, während die verbleibende Schwachstelle auf der Skala 1-10 des National Infrastructure Advisory Council (NIAC) zur Bewertung des Schweregrads von Computersystem-Schwachstellen mit 8,5 bewertet wurde.
Die in 2007 eingeführte Produktlinie CARESCAPE ist äußerst populär und hat sich in Krankenhäusern auf der ganzen Welt etabliert. Zu den betroffenen Produkten gehören bestimmte Versionen des CARESCAPE Central Information Center (CIC), Apex Telemetry Server/Tower, Central Station (CSCS), Telemetry Server, B450 Patientenmonitor, B650 Patientenmonitor und B850 Patientenmonitor. Obwohl GE es ablehnte, sich zur genauen Anzahl der betroffenen Geräte, die weltweit im Einsatz sind, zu äußern, geht man davon aus, dass die installierte Basis in die Hunderttausende geht.
Dieses Bündel von sechs Schwachstellen wurde erstmals am 18. September 2019 gemeldet. In den darauf folgenden Monaten arbeiteten CyberMDX, GE und CISA zusammen, um die Schwachstellen zu bestätigen, ihre technischen Details zu prüfen, das damit verbundene Risiko zu bewerten und den verantwortungsvollen Offenlegungsprozess abzuarbeiten. Heute gipfelten diese Bemühungen in der Veröffentlichung eines offiziellen Gutachtens durch die CISA — ICSMA-120-023-01.
Der Forschungsleiter von CyberMDX, Elad Luz, kommentierte: „Unser Ziel ist es, die Gesundheitsdienstleister auf diese Probleme aufmerksam zu machen, damit sie schnell angegangen werden können — und so zu sichereren Krankenhäusern beitragen. Daher ist jede Offenlegung ein weiterer Schritt in die richtige Richtung. Die Schnelligkeit, Reaktionsfähigkeit und Ernsthaftigkeit, mit der GE diese Angelegenheit behandelt hat, ist sehr ermutigend. Gleichzeitig gibt es noch viel zu tun, und es ist uns sehr daran gelegen, dass GE Sicherheitspatches für diese wichtigen Geräte herausgibt."
Jede der sechs Schwachstellen basiert auf einem anderen Aspekt des Designs und der Konfiguration der Geräte. Eine der Schwachstellen betrifft beispielsweise ungeschützte private Schlüssel, die SSH-Missbrauch ermöglichen, während eine andere Schwachstelle fehlerhafte SMB-Verbindungen aufgrund von Anmeldeinformationen ermöglicht, die im Betriebssystem Windows XP Embedded (XPe) fest codiert sind. Das gemeinsame Element aller MDhex-Schwachstellen — über die betroffenen Geräte und ihren gemeinsamen Entdeckungspunkt hinaus — ist, dass sie alle einen direkten Weg zur Kompromittierung des Geräts darstellen; sei es durch illegale Kontrolle, Lese-, Schreib- oder Upload-Fähigkeiten. Wenn diese Schwachstelle ausgenutzt wird, könnte sie sich direkt auf die Vertraulichkeit, Integrität und Verfügbarkeit von Geräten auswirken.
Die Entdeckung dieser Schwachstellen ist das jüngste in einer schnell wachsenden Liste von Beispielen, die die Notwendigkeit für alle Akteure im Bereich der Medizinprodukte unterstreicht, ihre Wachsamkeit beim Schutz der Patientensicherheit zu verdoppeln — und damit die Sicherheit und Widerstandsfähigkeit von Medizinprodukten sowohl vor als auch nach der Markteinführung zu verbessern.
Weitere Informationen über die Anfälligkeit finden Sie hier.
Über das CyberMDX-Forschungs- und Analyseteam für Cybersicherheit
Das Forschungs- und Analystenteam von CyberMDX arbeitet regelmäßig mit Organisationen für medizinische Geräte an der verantwortungsvollen Offenlegung von Sicherheitslücken. Das Team für Bedrohungsaufklärung arbeitet unermüdlich daran, Krankenhäuser und Gesundheitsorganisationen vor böswilligen Angriffen zu schützen. Die Forscher, White-Hat-Hacker und Ingenieure des Teams sammeln Informationen über mögliche Angriffspfade, um die Motive, Mittel und Methoden der Angreifer zu verstehen und so den bestmöglichen Schutz zu gewährleisten.
Über CyberMDX
Als Pionier im Bereich der medizinischen Cybersicherheit ist CyberMDX das Unternehmen hinter der führenden IoMT-Sichtbarkeits- und Sicherheitslösung. CyberMDX identifiziert, kategorisiert und schützt angeschlossene medizinische Geräte — und gewährleistet damit sowohl die Ausfallsicherheit als auch die Patientensicherheit und den Datenschutz. Mit der kontinuierlichen Endpunkterkennung und -zuordnung von CyberMDX, der umfassenden Risikobewertung, der KI-gestützten Eindämmung und Reaktion sowie der betrieblichen Analyse lassen sich Risiken leicht mindern und Anlagen optimieren. Für weitere Informationen klicken Sie bitte hier.
Kontakt:
Jon Rabinowitz
VP Marketing
CyberMDX
+1-646-794-4241
Artikel teilen