Hlavní navigace

Objeveny závažné zranitelnosti ve zdravotnických přístrojích GE

Sdílet

Petr Kajzar
GE monitor

Velmi závažné zranitelnosti byly nalezeny v zdravotnických přístrojích firmy GE. Jedná se o přístroje určené ke sledování životních funkcí hospitalizovaných pacientů a mezi zjištěné problémy patří například pevně naprogramované přístupové údaje, nedostatečné šifrování, neověřování vstupů, možnost spuštění vzdáleného kódu a volně přístupný privátní klíč pro SSH. Úspěšný útok by mohl znamenat ohrožení správné funkce přístrojů, změnu nastavení jejich funkcí, ohrožení citlivých dat pacientů a podobně.

Problémy objevil a nahlásil white hat hacker Elad Luz. Zranitelnostem bylo přiděleno šest kódů CVE-2020–6961 až CVE-2020–6966 a byly ohodnoceny nejvyšším rizikem 10 bodů v systému CVSS v3. Mezi postižené přístroje patří některé typy a verze GE Carescape (přístroj ke sledování životních funkcí pacienta), GE ApexPro (přístroj ke vzdálenému, telemetrickému monitorování pacienta) a GE Clinical Information Center.

Dle zběžného pohledu do databáze Hlídače Státu se tyto přístroje používají i v České republice. Například GE Carescape, GE ApexPro, B450, B650 a B850. Nemusí však jít o konkrétní verze přístrojů postižené zranitelnostmi, detailní průzkum je tedy samozřejmě na správcích v daných nemocnicích.

Podle dostupných informací nyní firma pracuje na záplatách a aktualizacích, mezitím nabízí plnou zákaznickou podporu a doporučuje nastavit správná síťová pravidla, zablokovat rizikové porty, omezit fyzický přístup k přístrojům a centrálním stanicím a upravit (pokud to jde) výhozí přístupové údaje k přístrojům.

Na tomto místě bych rád poukázal na fakt, že otevřené upozornění na zranitelnosti, podpora zákazníků a práce na záplatách patří k dobrému jménu firem v tomto oboru. Existují tedy firmy, jejichž jméno se v systému hlášení zranitelností objevuje relativně častěji – a je to vlastně dobře.

Více o zjištěných zranitelnostech viz ICS Advisory ICSMA-20–023–01.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?
Ochrana proti spamovacím robotům. Odpovězte prosím na následující otázku: Jaký je letos rok?