L'équipe de recherche de CyberMDX découvre une série de vulnérabilités baptisées « MDhex » dans des dispositifs médicaux de GE
La CISA ICS a émis un avis concernant 6 CVE (Common Vulnerabilities and Exposures, expositions et vulnérabilités communes) à gravité élevée dans ApexPro, les systèmes de Centrale d'information clinique (CIC - Clinical Information Center) et CARESCAPE de GE.
NEW YORK, 24 janvier 2020 /PRNewswire / -- Une série de six vulnérabilités de cybersécurité a été découverte dans une gamme de dispositifs de soins de GE Healthcare populaires dans les hôpitaux, a dévoilé aujourd'hui la Cybersecurity and Infrastructure Security Agency (CISA) du département de la Sécurité intérieure des États-Unis. Ces vulnérabilités, découvertes par le fournisseur de solutions de cybersécurité spécialisé dans le secteur des soins de santé CyberMDX, pourraient permettre à un pirate d'apporter des modifications au niveau du logiciel du dispositif, pouvant potentiellement rendre le dispositif inutilisable, interférer avec sa fonctionnalité, apporter des changements aux réglages d'alarme et exposer les PHI.
L'équipe de recherche de CyberMDX a découvert ces vulnérabilités, collectivement dénommées « MDhex », en enquêtant sur l'utilisation de versions obsolètes de Webmin et les configurations de port potentiellement problématiques dans le poste de travail CARESCAPE CIC Pro de GE. L'enquête a finalement révélé six failles de conception différentes, toutes constituant de très graves vulnérabilités de sécurité présentes dans ApexPro, les systèmes de Centrale d'information clinique (CIC) et les moniteurs de patients CARESCAPE de GE. Cinq des vulnérabilités ont reçu des valeurs CVSS (v3.1) de 10, tandis que la dernière vulnérabilité a obtenu un score de 8,5 sur l'échelle de 1 à 10 du National Infrastructure Advisory Council (NIAC) pour l'évaluation de la gravité des vulnérabilités des systèmes informatiques.
Lancée en 2007, la gamme de produits CARESCAPE est extrêmement populaire et a été adoptée par des hôpitaux du monde entier. Parmi les produits concernés figurent certaines versions de la Centrale d'information clinique (CIC) de CARESCAPE, la tour/le serveur de télémétrie Apex, la station centrale (CSCS), le serveur de télémétrie, le moniteur de patient B450, le moniteur de patient B650 et le moniteur de patient B850. Bien que GE ait refusé de communiquer le nombre précis d'appareils affectés utilisés à l'échelle mondiale, on estime que la base installée se situe dans les centaines de milliers.
Cette série de six vulnérabilités a été signalée pour la première fois le 18 septembre 2019. Au cours des mois suivants, CyberMDX, GE et la CISA ont collaboré pour confirmer les vulnérabilités, vérifier leurs détails techniques, évaluer les risques associés et travailler sur le processus de divulgation responsable. Aujourd'hui, ces efforts ont débouché sur la publication par la CISA d'un avis officiel - ICSMA-120-023-01.
Elad Luz, directeur de la recherche chez CyberMDX, a commenté : « Notre objectif est d'informer les prestataires de soins de santé de ces problèmes afin qu'ils puissent être rapidement résolus, contribuant ainsi à des hôpitaux plus sûrs et plus sécurisés. Ainsi, chaque divulgation constitue un autre pas dans la bonne direction. La rapidité, la réactivité et le sérieux avec lesquels GE a traité cette question sont très encourageants. Dans le même temps, il reste du travail à faire et nous sommes impatients de voir GE déployer des correctifs de sécurité pour ces appareils vitaux. »
Chacune des six vulnérabilités est fondée sur un aspect différent de la conception et de la configuration des dispositifs. Par exemple, l'une des vulnérabilités concerne l'exposition de clés privées permettant des tentatives d'attaques SSH, tandis qu'une autre permet des connexions SMB douteuses en raison de justificatifs d'identité codés matériellement dans le système d'exploitation Windows XP Embedded (XPe). L'élément commun aux vulnérabilités MDhex, au-delà des dispositifs qu'ils affectent et de leur point de découverte partagé, est qu'elles présentent toutes un chemin direct pour mettre en danger l'appareil, que ce soit au moyen de capacités de contrôle, de lecture, d'écriture ou de téléchargement illicites. Si elle est exploitée, cette vulnérabilité pourrait avoir un impact direct sur la confidentialité, l'intégrité et la disponibilité des dispositifs.
La découverte de ces vulnérabilités est la dernière d'une liste toujours plus longue d'exemples soulignant la nécessité pour toutes les parties prenantes dans le secteur des dispositifs médicaux de redoubler de vigilance dans la protection de la sécurité des patients — en améliorant la sécurité et la résilience des dispositifs médicaux, à la fois avant et après leur commercialisation.
De plus amples informations sur la vulnérabilité sont disponibles ici.
À propos de l'équipe de recherche et d'analyse sur la cybersécurité de CyberMDX
L'équipe de recherche et d'analyse de CyberMDX travaille régulièrement avec des fabricants de dispositifs médicaux sur la divulgation responsable des vulnérabilités de sécurité. L'équipe de renseignements sur les menaces travaille sans relâche pour défendre les hôpitaux et les organisations de santé contre les attaques malveillantes. Les chercheurs, les spécialistes informatiques et les ingénieurs de l'équipe recueillent des informations sur les voies d'attaque possibles afin de comprendre les motivations, les moyens et les méthodes des pirates, dans le but d'offrir la meilleure protection possible.
À propos de CyberMDX
Pionnier de la cybersécurité médicale, CyberMDX est la société à l'origine de la principale solution de visibilité et de sécurité IoMT. CyberMDX identifie, classe et protège les dispositifs médicaux connectés, garantissant leur résilience ainsi que la sécurité des patients et la confidentialité des données. Grâce à la cartographie et à la découverte de points d'extrêmité continues, à l'évaluation complète des risques, à la réponse et au confinement reposant sur l'IA et aux analyses opérationnelles de CyberMDX, les risques sont facilement atténués et les actifs optimisés. Pour tout complément d'information, veuillez cliquer ici.
Contact :
Jon Rabinowitz
VP du marketing
CyberMDX
+1-646-794-4241
Partager cet article