Publicado 24/01/2020 14:42

CyberMDX Research Team muestra su colección de vulnerabilidades de dispositivos médicos GE - "MDhex"

CISA ICS ha publicado un asesoramiento que contiene 6 CVEs de alta severidad para sistemas GE CARESCAPE, ApexPro y Clinical Information Center (CIC)

NUEVA YORK, 24 de enero de 2020 /PRNewswire/ -- Se ha presentado una colección de 6 vulnerabilidades en un abanico de dispositivos populares de GE Healthcare en hospitales, según ha informado hoy la Cybersecurity and Infrastructure Security Agency (CISA) del US Department of Homeland Security. Las vulnerabilidades, descubiertas por medio del proveedor de ciberseguridad del cuidado de salud CyberMDX, permitirían al atacante realizar cambios a nivel de software en el dispositivo, con ramificaciones posibles que incluyen la representación del dispositivo no utilizable, que interfiere con la funcionalidad del dispositivo, con ciertos cambios de establecimiento de alarmas y de exposición de PHI.

El equipo de CyberMDX ha descubierto estas vulnerabilidades -- llamadas de forma colectiva "MDhex" -- cuando investigaba el uso de las versiones webmin no aprobadas y potencialmente problemáticas de las configuraciones de puertos abiertos en la estación de trabajo CARESCAPE CIC Pro de GE. La investigación finalmente produjo seis fallos de diseño potenciales, todos ellos constituyentes de vulnerabilidades de seguridad con elevada severidad presentes en los sistemas de ESCAPE Patient Monitors, ApexPro y Clinical Information Center (CIC). Cinco de estas vulnerabilidades recibieron valores CVSS (v3.1) de 10, mientras que la vulnerabilidad restante consiguió una puntuación de un 8,5 en la escala del National Infrastructure Advisory Council (NIAC) 1-10 para la evaluación de la severidad de las vulnerabilidades del sistema informático.

Lanzada en el año 2007, la gama de productos CARESCAPE es muy popular, y ha sido testigo de la adopción por medio de los hospitales de todo el mundo. Entre los productos afectados se incluyen algunas versiones del CARESCAPE Central Information Center (CIC), Apex Telemetry Server/Tower, Central Station (CSCS), Telemetry Server, controlador de pacientes B450, controlador de pacientes B650 y controlador de pacientes B850. Aunque GE no quiso comentar la cifra precisa de dispositivos afectados en uso a nivel mundial, la base instalada se cree que será de cientos de miles.

Esta integración de seis vulnerabilidades se indicó por primera vez el 18 de septiembre de 2019. En los meses posteriores, CyberMDX, GE y CISA colaboraron para confirmaron las vulnerabilidades, auditar sus detalles técnicos, evaluar sus riesgos asociados y trabajar a través de procesos de desvelamiento responsables. En la actualidad, estos esfuerzos han culminado en el lanzamiento de CISA de un asesoramiento oficial -- ICSMA-120-023-01 [https://www.us-cert.gov/ics/advisories/icsma-20-023-01].

El responsable de investigación de CyberMDX, Elad Luz, comentó: "Nuestro objetivo es llevar estos temas a la atención de los proveedores de cuidado de la salud para que se puedan encargar de ellos de forma rápida -- contribuyendo a conseguir hospitales más seguros y a salvo. De este modo, cada desvelación es otro paso en la dirección adecuada. La velocidad, capacidad de respuesta y seriedad con la que GE trata este tema es muy esperanzadora. Al mismo tiempo, queda aún trabajo por hacer, y estamos ansioso por ver a GE emitir parches de seguridad para estos dispositivos tan importantes".

Cada una de las seis vulnerabilidades se predican en un aspecto diferente del diseño y configuración de los dispositivos. Por ejemplo, una de las preocupaciones de las vulnerabilidades expone las claves privadas, permitiendo abusos del tipo SSH, mientras que otras permiten conexiones SBM rogué como resultados de las credenciales con códigos complicados en el sistema operativo Windows XP Embedded (XPe). El elemento común en las vulnerabilidades MDhex -- más allá de los dispositivos afectados y compartidos en su punto de descubrimiento -- es que todos ellos presentan una ruta directa para el compromiso del dispositivo; ya sea por medio de un control ilícito, lectura, escritura o capacidades de carga. Si se consigue abusar, esta vulnerabilidad podría impactar directamente en la confidencialidad, integridad y disponibilidad de los dispositivos.

El descubrimiento de estas vulnerabilidades es lo último dentro de una lista de ejemplos de crecimiento rápido que destacan la necesidad de que todos los accionistas de dispositivos médicos dupliquen su vigilancia en la protección de la seguridad de los pacientes - mejorando la seguridad y resiliencia de los dispositivos médicos, tanto en forma de pre-comercialización como de post-comercialización.

Más información acerca de la vulnerabilidad disponible aquí [https://www.cybermdx.com/vulnerability-research-disclosures/...].

Acerca del equipo de investigación y análisis de ciberseguridad de CyberMDX

El equipo de investigación y análisis de CyberMDX trabaja de forma regular con las organizaciones de dispositivos médicos con un desvelamiento responsable de las vulnerabilidades de seguridad. El equipo de inteligencia de amenazas trabaja de forma incansable para defender a los hospitales y organizaciones del cuidado de la salud de los ataques maliciosos. Los investigadores del equipo, hackers de sombrero blanco e ingenieros recopilan información acerca de las rutas de ataques posibles para conocer los motivos, significados y métodos de los ataques en un esfuerzo por desplegar la mejor protección posible.

Acerca de CyberMDX

Como pionero en ciberseguridad médica, CyberMDX es la compañía detrás de la principal solución de visibilidad y seguridad IoMT. CyberMDX identifica, categoriza y protege los dispositivos médicos conectados - asegurando su resiliencia, además de la seguridad de los pacientes y privacidad de los datos. Con el descubrimiento y mapeo continuado de los objetivos de CyberMDX, evaluación de riesgo completa, contención y respuesta AI y analítica operativa, los riesgos se mitigan de forma sencilla y se optimizan los activos. Si desea más información haga click aquí [https://www.cybermdx.com/].

Contacto:Jon RabinowitzVicepresidente de marketingCyberMDX+1-646-794-4241

Sitio Web: https://www.cybermdx.com/