專門提供醫療照護網路安全解決方案的CyberMDX,在本周公布了GE Medical的醫療裝置內含6大安全漏洞,成功的開採將允許駭客關閉監護裝置、變更警報設定,或是自遠端控制相關裝置。在6個漏洞中,有5個被列為CVSS v3.1最高風險等級的10,另外一個的風險等級亦高達8.2,CyberMDX則將這6個漏洞統稱為MDhex,目前GE Medical正著手修補MDhex,迄今尚未接獲相關的攻擊報告。

GE Medical為奇異(GE)集團的子公司,主要提供醫療技術與服務,包括醫學成像、資訊技術、醫療診斷,病患監護系統及藥物研發等,全球員工超過4.6萬名,受到MDhex漏洞波及的裝置,則涵蓋了ApexPro遙測伺服器(ApexPro Telemetry Server )、CARESCAPE遙測伺服器(CARESCAPE Telemetry Server)、CARESCAPE中央工作站(CARESCAPE Central Station)與中央資訊中心(Central Information Center)等。

至於CyberMDX所揭露的6個安全漏洞都已取得漏洞編號,其中的CVE-2020-6961將允許駭客取得置放在配置檔案中的SSH金鑰。CVE-2020-6962漏洞則存在於相關產品的Web系統上,成功的開採,將允許遠端駭客執行任意程式。CVE-2020-6963是因為CARESCAPE與GE Health家族的產品,都使用固定(hard-coded )的憑證,駭客只要建立一個遠端的SMB連結就能取得憑證,同樣屬於遠端程式攻擊漏洞,還可能波及同一網路的其它裝置。CVE-2020-6964存在於切換鍵盤的整合服務中,由於它完全不需要認證就能執行,因而允許自遠端鍵盤輸入。CVE-2020-6966藏匿在遠端桌面存取軟體VNC中,但它以不安全的方式存放其存取憑證,讓駭客可輕易取得,並自遠端控制裝置。

上述5個都屬於CVSS v3.1的最高風險等級,另一個CVE-2020-6965的風險等級雖然只有8.5,但此一位於軟體更新機制中的漏洞,因未設定上傳限制,亦允許通過身分認證的駭客上傳任意檔案。

CyberMDX是在去年的9月18日,向GE Medical通報相關漏洞,已過了90天的緩衝期,看似GE Medical來不及修補,而在本周一同揭露。

上述漏洞將允許駭客關閉裝置功能,或是變更裝置的警報設定,也能自遠端存取相關裝置的使用者介面,任意變更裝置設定,可能讓護理人員錯過病患監護裝置的重要警報,危及病患的生命安全。此外,有些成功的攻擊,還能讓駭客取得病患的監控數據。

美國國土安全部旗下的網路安全及基礎架構安全署(CISA),亦已針對MDhex提出警告,表示當駭客透過不當的配置或藉由實體存取裝置,取得重大任務(Mission Critical,MC)或資訊交換(information exchange,IE)網路的憑證時,等於是賦予駭客操縱這些裝置的權限。

GE Medical表示,該公司正著手修補相關漏洞,迄今尚未發現鎖定相關漏洞的攻擊程式,用戶可繼續使用相關裝置,但最好確認MC與IX網路是獨立的,以提高駭客的攻擊門檻,也應採用各裝置的最佳配置準則。


Advertisement

更多 iThome相關內容