Docenas de productos de radiología de GE Healthcare contienen una vulnerabilidad crítica que amenaza las redes de hospitales y otros proveedores de salud que utilizan los dispositivos, dijeron el martes funcionarios del gobierno de Estados Unidos y una empresa de seguridad privada.
Los dispositivos, que se utilizan para tomografías computarizadas, resonancias magnéticas, rayos X, mamografías, ecografías y tomografías por emisión de positrones, utilizan una contraseña predeterminada para recibir un mantenimiento regular. Las contraseñas están disponibles para cualquier persona que sepa dónde buscar en Internet. La falta de restricciones de acceso adecuadas permite que los dispositivos se conecten a servidores maliciosos en lugar de solo a aquellos designados por GE Healthcare. Los atacantes pueden aprovechar estas deficiencias abusando de los protocolos de mantenimiento para acceder a los dispositivos. Desde allí, los atacantes pueden ejecutar código malicioso o ver o modificar los datos del paciente almacenados en el dispositivo o en los servidores del hospital o del proveedor de atención médica.
Para agravar las cosas, los clientes no pueden solucionar la vulnerabilidad por sí mismos. En su lugar, deben solicitar que el equipo de soporte de GE Healthcare cambie las credenciales. Los clientes que no realicen tal solicitud seguirán confiando en la contraseña predeterminada. Con el tiempo, el fabricante del dispositivo proporcionará parches e información adicional.
La falla tiene una clasificación de gravedad CVSS de 9,8 sobre 10 debido al impacto de la vulnerabilidad combinado con la facilidad para explotarla. Firma de seguridad CyberMDX descubrió la vulnerabilidad y lo informó en privado al fabricante en mayo. La Agencia de Seguridad Cibernética e Infraestructura de EE. UU. asesorando que los proveedores de atención médica afectados tomen medidas de mitigación lo antes posible.
En un comunicado, los funcionarios de GE Healthcare escribieron:
No tenemos conocimiento de ningún acceso no autorizado a los datos o incidentes en los que esta vulnerabilidad potencial haya sido explotada en una situación clínica. Hemos realizado una evaluación de riesgos completa y llegamos a la conclusión de que no existe ningún problema de seguridad del paciente. Mantener la seguridad, la calidad y la seguridad de nuestros dispositivos es nuestra máxima prioridad.
Brindamos asistencia en el sitio para garantizar que las credenciales se cambien correctamente y confirmar la configuración adecuada del firewall del producto. Además, estamos aconsejando a las instalaciones donde se encuentran estos dispositivos que sigan las mejores prácticas de seguridad y administración de red.
Los dispositivos afectados incluyen:
- Estación de trabajo y servidor Advantage
- Optima
- Innova
- LightSpeed Pro 16
- LightSpeed RT 16
- BrightSpeed, Discovery y Optima
- Revolución EVO
- Frontera de la revolución
- Discovery IQ
- Odisea
- Descubrimiento
- Xeleris
- SIGNA HD / HDxT 3.0T
- Bravo 355 / Optima 360
- Seno 2000D, DS, esencial
- Senographe Pristina
- Definium, Brivo y Discovery
- Logiq
- Voluson
Los dispositivos contienen una computadora integrada que ejecuta un sistema operativo basado en Unix. El software propietario que se ejecuta sobre el sistema operativo realiza varias tareas de administración, incluido el mantenimiento y las actualizaciones realizadas por GE Healthcare a través de Internet. El mantenimiento requiere que las máquinas tengan varios servicios activados y puertos de Internet abiertos. Los servicios y puertos incluyen:
- FTP (puerto 21): utilizado por la modalidad para obtener archivos ejecutables del servidor de mantenimiento
- SSH (puerto 22)
- Telnet (puerto 23): utilizado por el servidor de mantenimiento para ejecutar comandos de shell en el dispositivo.
- REXEC (puerto 512): utilizado por el servidor de mantenimiento para ejecutar comandos de shell en el dispositivo.
CyberMDX dijo que los usuarios de dispositivos deben implementar políticas de red que restrinjan los puertos al modo de escucha solo para las conexiones de dispositivos.