NHS alertó sobre vulnerabilidades graves en equipos de salud de GE


Las organizaciones de atención médica de todo el mundo están poniendo en riesgo inadvertidamente tanto la información médica como la información personal de los pacientes, de acuerdo con las nuevas revelaciones de especialistas en ciberseguridad médica. CyberMDX y la agencia estadounidense de seguridad cibernética CISA.

CISA emitió un aviso el 23 de enero, que contiene seis vulnerabilidades y exposiciones comunes (CVE) de alta gravedad para varios Energia General (GE) productos de monitoreo de pacientes en uso generalizado, los sistemas Carescape, ApexPro y Clinical Information Center (CIC).

“Nuestro objetivo es llevar estos problemas a la atención de los proveedores de atención médica para que puedan abordarse rápidamente, contribuyendo a hospitales más seguros y seguros”, dijo el jefe de investigación de CyberMDX, Elad Luz. “Como tal, cada divulgación es otro paso en la dirección correcta”.

Las vulnerabilidades se conocen colectivamente como MDHex, y fueron descubiertas por Luz y su equipo cuando investigaron el uso de versiones obsoletas de Webmin y configuraciones de puertos abiertos en la estación de trabajo Carescape CIC Pro de GE.

Descubrieron seis fallas de diseño de alta gravedad en la línea de productos Carescape, lo que colectivamente podría haber permitido a los piratas informáticos realizar cambios en el software del dispositivo, con consecuencias que incluyen dejar inutilizable el equipo médico vital, interferir con su funcionalidad, cambiar la configuración de la alarma médica y exponer a los pacientes ‘datos de salud.

Las vulnerabilidades dependen de un aspecto diferente del diseño y la configuración de los distintos dispositivos; una se refiere a las claves privadas expuestas que podrían habilitar caja de enchufe segura (SSH) abuso, mientras que otro permite pícaro cortar el bloque de mensajes (SMB) gracias a las credenciales codificadas en el sistema operativo Windows XP Embedded.

El hilo común es que todos tienen un camino directo para comprometerse, ya sea a través de control ilícito, lectura o escritura, o capacidades de carga.

No se sabe cuántos dispositivos afectados están actualmente en uso en todo el mundo, pero según CyberMDX, podría ser de cientos de miles.

Junto con CISA y GE, CyberMDX ha estado trabajando desde septiembre de 2019 en las vulnerabilidades, culminando en una divulgación coordinada, y aunque GE aún no ha puesto a disposición ningún parche, Luz dijo: “La velocidad, la capacidad de respuesta y la seriedad con la que GE trató este asunto es Muy alentador. “Al mismo tiempo, queda trabajo por hacer y estamos ansiosos por ver que GE emita parches de seguridad para estos dispositivos vitales”, agregó.

Deberías leer:   Las mejores ofertas del Cyber ​​Monday 2020: qué esperar

Según CISA, todavía no se han producido ciberataques conocidos como resultado de las vulnerabilidades, sin embargo, hasta que los parches estén disponibles, la agencia y GE han hecho una serie de recomendaciones.

Esto incluye aislar adecuadamente las redes de misión crítica y / o de intercambio de información en las que residen los dispositivos, lo que significaría que un atacante necesitaría acceso físico al equipo, reconfigurar enrutadores y firewalls para bloquear el tráfico iniciado desde fuera de la red, restringiendo el acceso físico a los afectados estaciones, servidores y redes, cambiando las contraseñas predeterminadas para Webmin y, posteriormente, siguiendo las mejores prácticas de administración de contraseñas.

Sinopsis El estratega de seguridad senior Jonathan Knudsen dijo: “En la atención médica, las vulnerabilidades en el software pueden exponer los dispositivos y sistemas a ataques o mal uso, lo que en última instancia podría tener efectos adversos en la salud del paciente. La reducción del riesgo es una cuestión de encontrar y corregir vulnerabilidades. Los investigadores hicieron lo correcto al notificar discretamente al fabricante, dando tiempo para una divulgación coordinada al público.

“Si bien la investigación de seguridad es un componente importante para mejorar el estado general de la industria, no es la forma más eficiente de mantener bajo el riesgo al crear productos”, dijo. “La mejor manera de eliminar las vulnerabilidades es encontrarlas lo antes posible mediante un ciclo de vida de desarrollo seguro (SDLC). En cada etapa del desarrollo del producto, se identifican y erradican las vulnerabilidades.

“La seguridad es parte de cada fase del SDLC. Los productos de software resultantes son más seguros, más seguros y más robustos, lo que significa que presentan un menor riesgo para el constructor y sus clientes. Un enfoque proactivo para la seguridad del software resulta en un menor riesgo y menores costos a largo plazo ”.