LaneCat网猫:做好防护,佩戴口罩,同心协力,共度难关!
 (+86 )0592-5025888  中文版
行业新闻

行业新闻 公司新闻

研究人员爆GE医疗设备含有重大安全漏洞,将允许黑客关闭监护设备

Release date:2020-02-28 11:07:18      Views:1893people

  专门提供医疗看护网络安全解决方案的CyberMDX,在本周公布了GEMedical的医疗设备内置6大安全漏洞,成功的开采将允许黑客关闭监护设备、变更警报设置,或是自远程控制相关设备。在6个漏洞中,有5个被列为CVSSv3.1最高风险等级的10,另外一个的风险等级也高达8.2,CyberMDX则将这6个漏洞统称为MDhex,目前GEMedical正着手修补MDhex,迄今尚未接获相关的攻击报告。

006wi2TPly4gb94ryxbkqj30m809qtd9.jpg

  GEMedical为通用(GE)集团的子公司,主要提供医疗技术与服务,包括医学成像、信息技术、医疗诊断,病患监护系统及药物研发等,全球员工超过4.6万名,受到MDhex漏洞波及的设备,则涵盖了ApexPro遥测服务器(ApexProTelemetryServer)、CARESCAPE遥测服务器(CARESCAPETelemetryServer)、CARESCAPE中央工作站(CARESCAPECentralStation)与中央信息中心(CentralInformationCenter)等。


  至于CyberMDX所披露的6个安全漏洞都已取得漏洞编号,其中的CVE-2020-6961将允许黑客取得放置在配置文件中的SSH密钥。CVE-2020-6962漏洞则存在于相关产品的Web系统上,成功的开采,将允许远程黑客执行任意程序。CVE-2020-6963是因为CARESCAPE与GEHealth家族的产品,都使用固定(hard-coded)的凭证,黑客只要创建一个远程的SMB连接就能取得凭证,同样属于远程程序攻击漏洞,还可能波及同一网络的其它设备。CVE-2020-6964存在于切换键盘的集成服务中,由于它完全不需要认证就能执行,因而允许自远程键盘输入。CVE-2020-6966藏匿在远程桌面访问软件VNC中,但它以不安全的方式存放其访问凭证,让黑客可轻易取得,并自远程控制设备。


  上述5个都属于CVSSv3.1的最高风险等级,另一个CVE-2020-6965的风险等级虽然只有8.5,但该位于软件更新机制中的漏洞,因未设置上传限制,也允许通过身份认证的黑客上传任意文件。


  CyberMDX是在去年的9月18日,向GEMedical通报相关漏洞,已过了90天的缓冲期,看似GEMedical来不及修补,而在本周一同披露。


  上述漏洞将允许黑客关闭设备功能,或是变更设备的警报设置,也能自远程访问相关设备的用户接口,任意变更设备设置,可能让护理人员错过病患监护设备的重要警报,危及病患的生命安全。此外,有些成功的攻击,还能让黑客取得病患的监控数据。


  美国国土安全部旗下的网络安全及基础架构安全局(CISA),也已针对MDhex提出警告,表示当黑客通过不当的配置或借由实体访问设备,取得重大任务(MissionCritical,MC)或信息交换(informationexchange,IE)网络的凭证时,等于是赋给黑客操纵这些设备的权限。


  GEMedical表示,该公司正着手修补相关漏洞,迄今尚未发现锁定相关漏洞的攻击程序,用户可继续使用相关设备,但最好确认MC与IX网络是独立的,以提高黑客的攻击门槛,也应采用各设备的最佳配置准则。


The last:谷歌为什么急了?华为HMS厉害之处 Next up:2020年!网络信息内容生态治理规定
申请7天免费试用,请咨询:0592-5025888

link:

想呗

© Copyright 2020 LaneCat网猫网管软件 All Rights Reserved闽ICP备05004597号