Hlavní navigace

Objeveny závažné zranitelnosti ve zdravotnických přístrojích GE

Sdílet

Petr Kajzar 24. 1. 2020
GE monitor

Velmi závažné zranitelnosti byly nalezeny v zdravotnických přístrojích firmy GE. Jedná se o přístroje určené ke sledování životních funkcí hospitalizovaných pacientů a mezi zjištěné problémy patří například pevně naprogramované přístupové údaje, nedostatečné šifrování, neověřování vstupů, možnost spuštění vzdáleného kódu a volně přístupný privátní klíč pro SSH. Úspěšný útok by mohl znamenat ohrožení správné funkce přístrojů, změnu nastavení jejich funkcí, ohrožení citlivých dat pacientů a podobně.

Problémy objevil a nahlásil white hat hacker Elad Luz. Zranitelnostem bylo přiděleno šest kódů CVE-2020–6961 až CVE-2020–6966 a byly ohodnoceny nejvyšším rizikem 10 bodů v systému CVSS v3. Mezi postižené přístroje patří některé typy a verze GE Carescape (přístroj ke sledování životních funkcí pacienta), GE ApexPro (přístroj ke vzdálenému, telemetrickému monitorování pacienta) a GE Clinical Information Center.

Dle zběžného pohledu do databáze Hlídače Státu se tyto přístroje používají i v České republice. Například GE Carescape, GE ApexPro, B450, B650 a B850. Nemusí však jít o konkrétní verze přístrojů postižené zranitelnostmi, detailní průzkum je tedy samozřejmě na správcích v daných nemocnicích.

Podle dostupných informací nyní firma pracuje na záplatách a aktualizacích, mezitím nabízí plnou zákaznickou podporu a doporučuje nastavit správná síťová pravidla, zablokovat rizikové porty, omezit fyzický přístup k přístrojům a centrálním stanicím a upravit (pokud to jde) výhozí přístupové údaje k přístrojům.

Na tomto místě bych rád poukázal na fakt, že otevřené upozornění na zranitelnosti, podpora zákazníků a práce na záplatách patří k dobrému jménu firem v tomto oboru. Existují tedy firmy, jejichž jméno se v systému hlášení zranitelností objevuje relativně častěji – a je to vlastně dobře.

Více o zjištěných zranitelnostech viz ICS Advisory ICSMA-20–023–01.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 24. 1. 2020 8:14

    bez přezdívky

    "Existují tedy firmy, jejichž jméno se v systému hlášení zranitelností objevuje relativně častěji – a je to vlastně dobře."

    Coze? Co je na tom dobre?

  • 24. 1. 2020 12:18

    bez přezdívky

    Lepší je si pravidelně dělat vlastní pentesty (o čemž v tomto případě silně pochybuji), než čekat až nějaký WhiteHat náhodou narazí na váš systém (zařízení) a zranitelnosti se vám rozhodne nahlásit...

    Alias ta zařízení jsou tak děravá, že kdyby nešetřili na nesprávných místech, opravili by to v tichosti předtím, než ta zařízení vůbec začali prodávat.

    Tady se není čím chlubit, pokud se dostáváte do fáze, kdy zranitelnosti s nevyšším hodnocením objeví někdo "hodný" z davu.

    24. 1. 2020, 12:22 editováno autorem komentáře

  • 24. 1. 2020 18:23

    Miroslav Šilhavý

    Ano, to je pravda a firmy to snad i dělávají. Skutečným problémem jsou neexistující normy na bezpečnost. Každá firma, která ku příkladu vyrábí zdravotnický přístroj ví, že ho musí důkladně otestovat, aby neublížil pacientovi. Kdyby selhal, byl by z toho obrovský průšvih, pokuty, odškodnění.

    Když odfláknete digitální bezpečnost, rizika jsou poměrně malá. U soudu se nepodaří prokázat zanedbání. Bez základního normativního rámce ji nemáte podle čeho určit. Další "překážkou" pro poškozeného je rozmělnění odpovědnosti - o co se měl starat provozovatel (zdravotnické zařízení a jeho IT) a o co se měl starat dodavatel?

    V časovém tlaku pak každá firma "instinktivně" rozděluje priority a řeší od těch, které ohrožují obchod. Nikdo si netroufne promeškat výběrové řízení "jen" kvůli tomu, že si vývojáři na zdánlivě funkčním zařízení "hrají" s bezpečností, kterou zákazník ve výběrku nevyhodnocuje (často ani nemá jak).

    Podle mě v dalších desetiletích budou muset vzniknout úřady a organizace, které budou základní rámce stanovovat, kontrolovat a postihovat - stejně jako kdysi museli vzniknout stavební úřady, úřady pro kontrolu léčiv, komory atd. Pak teprve bude možné vyžadovat stanovenou úroveň a garanta - konkrétní osobu, tak jako je projektant, lékař nebo notář. A až následně se to projeví i na výsledcích.

  • 24. 1. 2020 21:04

    bez přezdívky

    To nikdo netvrdi, ale prima umera "cim vice CVE tim lepe" je nesmysl. Staci se podivat treba na Adobe..