Les appareils médicaux GE contiennent des failles critiques

Une paire de vulnérabilités critiques ont été découvertes dans des dizaines d’appareils radiologiques GE Healthcare dans les hôpitaux, ce qui pourrait permettre à un attaquant d’accéder à des informations de santé personnelles et sensibles, de modifier des données et même de couper la disponibilité de la machine.

Les vulnérabilités affectent 100 types différents de scanners CT, machines TEP, appareils d’imagerie moléculaire, machines IRM, appareils de mammographie, appareils à rayons X et appareils à ultrasons. La Cybersecurity and Infrastructure Security Agency (CISA) du département américain de la Sécurité intérieure a révélé ces failles, qui ont été découverts par des chercheurs de CyberMDX au mois de Mai. Ces failles ont un score de gravité CVSS de 9,8, ce qui les rend critiques, et des correctifs sont à venir, selon l’alerte de sécurité.

«Une exploitation réussie de la vulnérabilité peut exposer des données sensibles – telles que les informations personnelles de santé – ou pourrait permettre à l’attaquant d’exécuter du code arbitraire, ce qui pourrait avoir un impact sur la disponibilité du système et permettre la manipulation des informations personnelles de santé», a noté CyberMDX.

Les failles surviennent en raison des informations d’identification par défaut utilisées avec le logiciel de gestion propriétaire de GE, lequel contrôle le PC intégré des périphériques qui utilise un système d’exploitation basé sur Unix. Le logiciel gère l’appareil ainsi que ses procédures de maintenance et de mise à jour, qui sont effectuées par la société américaine sur Internet.

Le problème est que le logiciel de mise à jour et de maintenance authentifie les connexions à l’aide d’informations d’identification qui sont exposées publiquement et peuvent être trouvées en ligne. La première faille (CVE-2020-25175) permet d’exposer des informations d’identification spécifiques pendant le transport sur le réseau, tandis que la seconde (CVE-2020-25179) permet d’utiliser les informations d’identification exposées/par défaut pour accéder ou modifier des informations sensibles.

malware

La société a découvert les vulnérabilités pour la première fois après avoir remarqué des modèles similaires de communications non sécurisées entre les dispositifs médicaux et les serveurs du fournisseur correspondant, dans plusieurs organisations de bases de données de santé différentes.

Les organisations de bases de données de santé sont des bases de données régionales sur les soins de santé qui contiennent des dossiers médicaux, des fichiers d’imagerie et plus, pour faciliter les efforts de dossiers médicaux électroniques pour les médecins et les patients.

Des recherches plus poussées ont montré que ces communications provenaient des multiples processus de maintenance récurrents susmentionnés, que le serveur déclenche automatiquement à certains intervalles, ont déclaré les chercheurs dans un article.

Tout cela signifie qu’un attaquant distant peut se connecter à un appareil sans intervention de l’utilisateur ni privilèges augmentés nécessaires – et à partir de là, il peut accéder aux communications non sécurisées circulant entre les appareils et les organisations de base de données de santé. Le niveau de complexité d’exploitation est extrêmement faible, selon les chercheurs.

«Les protocoles de maintenance reposent sur la machine ayant certains services disponibles/ports ouverts et utilisant des informations d’identification spécifiques utilisées à l’échelle mondiale», selon CyberMDX. «Ces informations d’identification mondiales permettent aux pirates d’accéder facilement à des dispositifs médicaux cruciaux. Ils leur permettent également d’exécuter du code arbitraire sur les machines concernées et de fournir un accès à toutes les données de la machine. »

GE Healthcare

Les gammes de produits concernées comprennent: Brivo, Definium, Découverte, Innova, Optima, Odyssée, PetTrace, Précision, Seno, Révolution, Ventri, et Xeleris.

GE a confirmé la vulnérabilité, laquelle affecte les appareils radiologiques ainsi que certains postes de travail et appareils d’imagerie utilisés en chirurgie, selon l’alerte CyberMDX. GE Healthcare prévoit de fournir des correctifs, a-t-il confirmé mais aucun calendrier n’a été établi.

En attendant, les administrateurs doivent contacter GE Healthcare et demander une modification des informations d’identification sur tous les appareils concernés dans un établissement. Malheureusement, le changement ne peut être effectué que par l’équipe d’assistance de GE Healthcare.

Pas la première fois pour GE Healthcare

Il s’agit du deuxième groupe de failles non corrigées pour les appareils GE Healthcare cette année. En Janvier, CyberMDX a révélé un ensemble de six vulnérabilités de cybersécurité dans une gamme d’appareils GE Healthcare destinés aux hôpitaux. Surnommés «MDhex», les failles permettraient aux attaquants de désactiver les appareils, de récolter les paramètres d’alarme de changement d’informations de santé personnelles et de modifier les fonctionnalités de l’appareil.

«Au cours des derniers mois, nous avons constaté une augmentation constante du ciblage des dispositifs et des réseaux médicaux, et l’industrie médicale apprend malheureusement à ses dépens les conséquences des oublis précédents», a déclaré Elad Luz, responsable de la recherche chez CyberMDX. «La protection des dispositifs médicaux afin que les hôpitaux puissent assurer des soins de qualité est de la plus haute importance. Nous devons continuer d’éliminer les points d’accès faciles pour les pirates et veiller à ce que le plus haut niveau de sécurité des patients soit maintenu dans toutes les installations médicales. »

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x