CISA ICS ha pubblicato una nota informativa contenente 6 CVE ad alta gravità per i sistemi GE CARESCAPE, ApexPro e CIC (Clinical Information Center)
NEW YORK, 24 gennaio 2020 /PRNewswire/ -- L'agenzia statunitense per la sicurezza informatica e le infrastrutture (The Department of Homeland Security 's CyberSecurity and Infrastructure Security Agency) ha reso noto oggi che è stata scoperta una serie di sei vulnerabilità in materia di sicurezza informatica in alcuni dispositivi sanitari GE molto diffusi negli ospedali. Le vulnerabilità, rilevate dal fornitore di cibersicurezza sanitaria CyberMDX, potrebbero consentire a un aggressore di apportare modifiche a livello di software del dispositivo, con possibili conseguenze a cascata come: rendere il dispositivo inutilizzabile, interferire con le funzionalità del dispositivo, modificare le impostazioni degli allarmi e provocare un'esposizione di dati sanitari confidenziali.
Il team di ricerca CyberMDX ha rilevato queste vulnerabilità, definite collettivamente "MDhex", mentre indagava sull'uso delle versioni Webmin e delle configurazioni delle porte aperte potenzialmente problematiche nella workstation CARESCAPE CIC Pro di GE. Alla fine l'indagine ha riscontrato sei diversi difetti di progettazione, che costituiscono tutti vulnerabilità di sicurezza ad alta gravità presenti nei monitor dei pazienti di GE CARESCAPE e nei sistemi ApexPro e CIC (Clinical Information Center). Cinque delle vulnerabilità hanno ricevuto una valutazione CVSS (v3.1) di 10, mentre la vulnerabilità rimanente ha raggiunto un punteggio di 8,5 nella scala 1-10 del National Infrastructure Advisory Council (NIAC) per la valutazione della gravità delle vulnerabilità dei sistemi informatici.
Lanciata nel 2007, la linea di prodotti CARESCAPE è estremamente popolare ed è stata adottata negli ospedali di tutto il mondo. I prodotti interessati includono alcune versioni di CIC (Central Information Center) di CARESCAPE, il server/torre di telemetria Apex, CSCS (Central Station), il server di telemetria, oltre ai monitor paziente b450, b650 e b850. Anche se GE ha rifiutato di commentare il numero preciso di dispositivi interessati in uso a livello globale, si ritiene che la base installata ammonti a centinaia di migliaia di unità.
Questo pacchetto di sei vulnerabilità è stato segnalato per la prima volta il 18 settembre 2019. Nei mesi successivi, CyberMDX, GE e CISA hanno collaborato per confermare le vulnerabilità, verificare i dettagli tecnici, valutare il rischio associato e lavorare a un processo di divulgazione responsabile. Oggi, questi sforzi sono culminati nel rilascio da parte di CISA di una nota informativa ufficiale - ICSMA-120-023-01.
Il responsabile della ricerca di CyberMDX, Elad Luz, ha commentato: "Il nostro obiettivo è portare questi problemi all'attenzione dei fornitori di servizi sanitari in modo che possano essere affrontati rapidamente, contribuendo a rendere gli ospedali più sicuri. Pertanto, ogni divulgazione rappresenta un altro passo nella giusta direzione. La rapidità, la reattività e la serietà con cui GE ha trattato la questione sono molto incoraggianti. Allo stesso tempo, c'è ancora del lavoro da fare e siamo impazienti di vedere il rilascio delle patch di sicurezza da parte di GE per questi dispositivi cruciali".
Ciascuna delle sei vulnerabilità riguarda un aspetto diverso della progettazione e della configurazione dei dispositivi. Ad esempio, una delle vulnerabilità concerne le chiavi private esposte che consentono intrusioni SSH, mentre un'altra consente le connessioni SMB rogue come risultato delle credenziali codificate nel sistema operativo XPe (Windows XP Embedded). L'elemento comune tra le vulnerabilità MDhex, oltre ai dispositivi che influenzano e al loro punto di scoperta condiviso, è che rappresentano tutte un percorso diretto verso la compromissione del dispositivo, con capacità di controllo illecito, lettura, scrittura o caricamento di contenuti. Se sfruttata, questa vulnerabilità potrebbe influenzare direttamente la riservatezza, l'integrità e la disponibilità dei dispositivi.
La scoperta di queste vulnerabilità è l'ultimo di un elenco in rapida crescita di esempi che evidenziano la necessità per tutte le parti interessate nel settore dei dispositivi medici di raddoppiare l'attenzione alla protezione della sicurezza dei pazienti, migliorando la sicurezza e la resilienza dei dispositivi medici, sia in fase pre che post commercializzazione.
Maggiori informazioni sulla vulnerabilità sono disponibili qui.
Informazioni sul team di ricerca e analisi CyberSecurity di CyberMDX
Il team di ricerca e analisi di CyberMDX collabora regolarmente con le aziende che producono dispositivi medici per la divulgazione responsabile delle vulnerabilità di sicurezza. Il team di intelligence sulle minacce lavora instancabilmente per proteggere ospedali e organizzazioni sanitarie da attacchi pericolosi. I ricercatori del team, gli hacker White Hat e gli ingegneri raccolgono informazioni sui possibili percorsi di attacco per comprendere le motivazioni, i mezzi e i metodi degli aggressori, nel tentativo di fornire la migliore protezione possibile.
Informazioni su CyberMDX
Pioniere nella sicurezza informatica medica, CyberMDX è l'azienda dietro la soluzione leader IoMT per la visibilità e la sicurezza. CyberMDX identifica, categorizza e protegge i dispositivi medici connessi, garantendo la resilienza, la sicurezza dei pazienti e la privacy dei dati. Grazie alla continua scoperta e mappatura degli endpoint di CyberMDX, alla valutazione completa dei rischi, al contenimento e alla risposta basata sull'intelligenza artificiale e all'analisi operativa, i rischi sono facilmente mitigabili e le risorse vengono ottimizzate. Per maggiori informazioni, fare clic qui.
Contatto: Jon RabinowitzVP MarketingCyberMDX+1-646-794-4241
