CyberMDX-Forschungsteam entdeckt Sammlung von Schwachstellen bei medizinischen Geräten von GE -- "MDhex"

New York (ots/PRNewswire) - CISA ICS hat ein Beratungsdokument mit 6
schwerwiegenden CVEs (Common Vulnerabilities and Exposures: häufige
Sicherheitsrisiken und Sicherheitslücken) für die Systeme von GE CARESCAPE,
ApexPro und Clinical Information Center (CIC) herausgegeben.

Eine Sammlung von sechs Cybersicherheits-Schwachstellen wurde in einer Reihe von
in Krankenhäusern beliebten Geräten von GE Healthcare entdeckt, teilte die
Cybersecurity and Infrastructure Security Agency (CISA) des US Department of
Homeland Security heute mit. Die vom CyberMDX, einem Cybersicherheitsanbieter
für das Gesundheitswesen, entdeckten Schwachstellen könnten es einem Angreifer
ermöglichen, Änderungen auf der Softwareebene des Geräts vorzunehmen, was zu
möglichen Auswirkungen führen kann, wie der Unbrauchbarkeit des Geräts, der
Beeinträchtigung der Gerätefunktionalität, bestimmter Änderungen der
Alarmeinstellungen und der Gefährdung durch PHI (Protected Health Information:
geschützte Gesundheitsinformationen).

Das CyberMDX-Forschungsteam fand diese Schwachstellen - zusammenfassend als
"MDhex" bezeichnet - bei der Untersuchung der Verwendung veralteter
Webmin-Versionen und potenziell problematischer offener Port-Konfigurationen in
der CARESCAPE CIC Pro-Workstation von GE. Die Untersuchung ergab schließlich
sechs verschiedene Konstruktionsfehler, die allesamt hochgradige
Sicherheitslücken in den Systemen der GE CARESCAPE-Patientenmonitore, des
ApexPro und des Clinical Information Center (CIC) darstellten. Fünf der
Schwachstellen erhielten gemäß CVSS (Common Vulnerability Scoring System:
Bewertung von Schwachstellen) (v3.1)-Werte von 10, während die verbleibende
Schwachstelle auf der Skala 1-10 des National Infrastructure Advisory Council
(NIAC) zur Bewertung des Schweregrads von Computersystem-Schwachstellen mit 8,5
bewertet wurde.

Die in 2007 eingeführte Produktlinie CARESCAPE ist äußerst populär und hat sich
in Krankenhäusern auf der ganzen Welt etabliert. Zu den betroffenen Produkten
gehören bestimmte Versionen des CARESCAPE Central Information Center (CIC), Apex
Telemetry Server/Tower, Central Station (CSCS), Telemetry Server, B450
Patientenmonitor, B650 Patientenmonitor und B850 Patientenmonitor. Obwohl GE es
ablehnte, sich zur genauen Anzahl der betroffenen Geräte, die weltweit im
Einsatz sind, zu äußern, geht man davon aus, dass die installierte Basis in die
Hunderttausende geht.

Dieses Bündel von sechs Schwachstellen wurde erstmals am 18. September 2019
gemeldet. In den darauf folgenden Monaten arbeiteten CyberMDX, GE und CISA
zusammen, um die Schwachstellen zu bestätigen, ihre technischen Details zu
prüfen, das damit verbundene Risiko zu bewerten und den verantwortungsvollen
Offenlegungsprozess abzuarbeiten. Heute gipfelten diese Bemühungen in der
Veröffentlichung eines offiziellen Gutachtens durch die CISA - ICSMA-120-023-01
(https://www.us-cert.gov/ics/advisories/icsma-20-023-01).

Der Forschungsleiter von CyberMDX, Elad Luz, kommentierte: "Unser Ziel ist es,
die Gesundheitsdienstleister auf diese Probleme aufmerksam zu machen, damit sie
schnell angegangen werden können - und so zu sichereren Krankenhäusern
beitragen. Daher ist jede Offenlegung ein weiterer Schritt in die richtige
Richtung. Die Schnelligkeit, Reaktionsfähigkeit und Ernsthaftigkeit, mit der GE
diese Angelegenheit behandelt hat, ist sehr ermutigend. Gleichzeitig gibt es
noch viel zu tun, und es ist uns sehr daran gelegen, dass GE Sicherheitspatches
für diese wichtigen Geräte herausgibt."

Jede der sechs Schwachstellen basiert auf einem anderen Aspekt des Designs und
der Konfiguration der Geräte. Eine der Schwachstellen betrifft beispielsweise
ungeschützte private Schlüssel, die SSH-Missbrauch ermöglichen, während eine
andere Schwachstelle fehlerhafte SMB-Verbindungen aufgrund von
Anmeldeinformationen ermöglicht, die im Betriebssystem Windows XP Embedded (XPe)
fest codiert sind. Das gemeinsame Element aller MDhex-Schwachstellen - über die
betroffenen Geräte und ihren gemeinsamen Entdeckungspunkt hinaus - ist, dass sie
alle einen direkten Weg zur Kompromittierung des Geräts darstellen; sei es durch
illegale Kontrolle, Lese-, Schreib- oder Upload-Fähigkeiten. Wenn diese
Schwachstelle ausgenutzt wird, könnte sie sich direkt auf die Vertraulichkeit,
Integrität und Verfügbarkeit von Geräten auswirken.

Die Entdeckung dieser Schwachstellen ist das jüngste in einer schnell wachsenden
Liste von Beispielen, die die Notwendigkeit für alle Akteure im Bereich der
Medizinprodukte unterstreicht, ihre Wachsamkeit beim Schutz der
Patientensicherheit zu verdoppeln - und damit die Sicherheit und
Widerstandsfähigkeit von Medizinprodukten sowohl vor als auch nach der
Markteinführung zu verbessern.

Weitere Informationen über die Anfälligkeit finden Sie hier (https://www.cybermd
x.com/vulnerability-research-disclosures/cic-pro-and-other-ge-devices).

Über das CyberMDX-Forschungs- und Analyseteam für Cybersicherheit

Das Forschungs- und Analystenteam von CyberMDX arbeitet regelmäßig mit
Organisationen für medizinische Geräte an der verantwortungsvollen Offenlegung
von Sicherheitslücken. Das Team für Bedrohungsaufklärung arbeitet unermüdlich
daran, Krankenhäuser und Gesundheitsorganisationen vor böswilligen Angriffen zu
schützen. Die Forscher, White-Hat-Hacker und Ingenieure des Teams sammeln
Informationen über mögliche Angriffspfade, um die Motive, Mittel und Methoden
der Angreifer zu verstehen und so den bestmöglichen Schutz zu gewährleisten.

Über CyberMDX

Als Pionier im Bereich der medizinischen Cybersicherheit ist CyberMDX das
Unternehmen hinter der führenden IoMT-Sichtbarkeits- und Sicherheitslösung.
CyberMDX identifiziert, kategorisiert und schützt angeschlossene medizinische
Geräte - und gewährleistet damit sowohl die Ausfallsicherheit als auch die
Patientensicherheit und den Datenschutz. Mit der kontinuierlichen
Endpunkterkennung und -zuordnung von CyberMDX, der umfassenden Risikobewertung,
der KI-gestützten Eindämmung und Reaktion sowie der betrieblichen Analyse lassen
sich Risiken leicht mindern und Anlagen optimieren. Für weitere Informationen
klicken Sie bitte hier (https://www.cybermdx.com/).

Pressekontakt:

Jon Rabinowitz
VP Marketing
CyberMDX
+1-646-794-4241

Weiteres Material: https://www.presseportal.de/pm/140781/4502082
OTS: CyberMDX

Original-Content von: CyberMDX, übermittelt durch news aktuell