Velmi závažné zranitelnosti byly nalezeny v zdravotnických přístrojích firmy GE. Jedná se o přístroje určené ke sledování životních funkcí hospitalizovaných pacientů a mezi zjištěné problémy patří například pevně naprogramované přístupové údaje, nedostatečné šifrování, neověřování vstupů, možnost spuštění vzdáleného kódu a volně přístupný privátní klíč pro SSH. Úspěšný útok by mohl znamenat ohrožení správné funkce přístrojů, změnu nastavení jejich funkcí, ohrožení citlivých dat pacientů a podobně.
Problémy objevil a nahlásil white hat hacker Elad Luz. Zranitelnostem bylo přiděleno šest kódů CVE-2020–6961 až CVE-2020–6966 a byly ohodnoceny nejvyšším rizikem 10 bodů v systému CVSS v3. Mezi postižené přístroje patří některé typy a verze GE Carescape (přístroj ke sledování životních funkcí pacienta), GE ApexPro (přístroj ke vzdálenému, telemetrickému monitorování pacienta) a GE Clinical Information Center.
Dle zběžného pohledu do databáze Hlídače Státu se tyto přístroje používají i v České republice. Například GE Carescape, GE ApexPro, B450, B650 a B850. Nemusí však jít o konkrétní verze přístrojů postižené zranitelnostmi, detailní průzkum je tedy samozřejmě na správcích v daných nemocnicích.
Podle dostupných informací nyní firma pracuje na záplatách a aktualizacích, mezitím nabízí plnou zákaznickou podporu a doporučuje nastavit správná síťová pravidla, zablokovat rizikové porty, omezit fyzický přístup k přístrojům a centrálním stanicím a upravit (pokud to jde) výhozí přístupové údaje k přístrojům.
Na tomto místě bych rád poukázal na fakt, že otevřené upozornění na zranitelnosti, podpora zákazníků a práce na záplatách patří k dobrému jménu firem v tomto oboru. Existují tedy firmy, jejichž jméno se v systému hlášení zranitelností objevuje relativně častěji – a je to vlastně dobře.
Více o zjištěných zranitelnostech viz ICS Advisory ICSMA-20–023–01.