CyberMDX-Forschungsteam entdeckt Sammlung von Schwachstellen bei medizinischen Geräten von GE -- "MDhex"
New York (ots/PRNewswire) - CISA ICS hat ein Beratungsdokument mit 6
schwerwiegenden CVEs (Common Vulnerabilities and Exposures: häufige
Sicherheitsrisiken und Sicherheitslücken) für die Systeme von GE CARESCAPE,
ApexPro und Clinical Information Center (CIC) herausgegeben.
Eine Sammlung von sechs Cybersicherheits-Schwachstellen wurde in einer Reihe von
in Krankenhäusern beliebten Geräten von GE Healthcare entdeckt, teilte die
Cybersecurity and Infrastructure Security Agency (CISA) des US Department of
Homeland Security heute mit. Die vom CyberMDX, einem Cybersicherheitsanbieter
für das Gesundheitswesen, entdeckten Schwachstellen könnten es einem Angreifer
ermöglichen, Änderungen auf der Softwareebene des Geräts vorzunehmen, was zu
möglichen Auswirkungen führen kann, wie der Unbrauchbarkeit des Geräts, der
Beeinträchtigung der Gerätefunktionalität, bestimmter Änderungen der
Alarmeinstellungen und der Gefährdung durch PHI (Protected Health Information:
geschützte Gesundheitsinformationen).
schwerwiegenden CVEs (Common Vulnerabilities and Exposures: häufige
Sicherheitsrisiken und Sicherheitslücken) für die Systeme von GE CARESCAPE,
ApexPro und Clinical Information Center (CIC) herausgegeben.
Eine Sammlung von sechs Cybersicherheits-Schwachstellen wurde in einer Reihe von
in Krankenhäusern beliebten Geräten von GE Healthcare entdeckt, teilte die
Cybersecurity and Infrastructure Security Agency (CISA) des US Department of
Homeland Security heute mit. Die vom CyberMDX, einem Cybersicherheitsanbieter
für das Gesundheitswesen, entdeckten Schwachstellen könnten es einem Angreifer
ermöglichen, Änderungen auf der Softwareebene des Geräts vorzunehmen, was zu
möglichen Auswirkungen führen kann, wie der Unbrauchbarkeit des Geräts, der
Beeinträchtigung der Gerätefunktionalität, bestimmter Änderungen der
Alarmeinstellungen und der Gefährdung durch PHI (Protected Health Information:
geschützte Gesundheitsinformationen).
Das CyberMDX-Forschungsteam fand diese Schwachstellen - zusammenfassend als
"MDhex" bezeichnet - bei der Untersuchung der Verwendung veralteter
Webmin-Versionen und potenziell problematischer offener Port-Konfigurationen in
der CARESCAPE CIC Pro-Workstation von GE. Die Untersuchung ergab schließlich
sechs verschiedene Konstruktionsfehler, die allesamt hochgradige
Sicherheitslücken in den Systemen der GE CARESCAPE-Patientenmonitore, des
ApexPro und des Clinical Information Center (CIC) darstellten. Fünf der
Schwachstellen erhielten gemäß CVSS (Common Vulnerability Scoring System:
Bewertung von Schwachstellen) (v3.1)-Werte von 10, während die verbleibende
Schwachstelle auf der Skala 1-10 des National Infrastructure Advisory Council
(NIAC) zur Bewertung des Schweregrads von Computersystem-Schwachstellen mit 8,5
bewertet wurde.
Die in 2007 eingeführte Produktlinie CARESCAPE ist äußerst populär und hat sich
in Krankenhäusern auf der ganzen Welt etabliert. Zu den betroffenen Produkten
gehören bestimmte Versionen des CARESCAPE Central Information Center (CIC), Apex
Telemetry Server/Tower, Central Station (CSCS), Telemetry Server, B450
Patientenmonitor, B650 Patientenmonitor und B850 Patientenmonitor. Obwohl GE es
ablehnte, sich zur genauen Anzahl der betroffenen Geräte, die weltweit im
Einsatz sind, zu äußern, geht man davon aus, dass die installierte Basis in die
Hunderttausende geht.
Dieses Bündel von sechs Schwachstellen wurde erstmals am 18. September 2019
gemeldet. In den darauf folgenden Monaten arbeiteten CyberMDX, GE und CISA
zusammen, um die Schwachstellen zu bestätigen, ihre technischen Details zu
"MDhex" bezeichnet - bei der Untersuchung der Verwendung veralteter
Webmin-Versionen und potenziell problematischer offener Port-Konfigurationen in
der CARESCAPE CIC Pro-Workstation von GE. Die Untersuchung ergab schließlich
sechs verschiedene Konstruktionsfehler, die allesamt hochgradige
Sicherheitslücken in den Systemen der GE CARESCAPE-Patientenmonitore, des
ApexPro und des Clinical Information Center (CIC) darstellten. Fünf der
Schwachstellen erhielten gemäß CVSS (Common Vulnerability Scoring System:
Bewertung von Schwachstellen) (v3.1)-Werte von 10, während die verbleibende
Schwachstelle auf der Skala 1-10 des National Infrastructure Advisory Council
(NIAC) zur Bewertung des Schweregrads von Computersystem-Schwachstellen mit 8,5
bewertet wurde.
Die in 2007 eingeführte Produktlinie CARESCAPE ist äußerst populär und hat sich
in Krankenhäusern auf der ganzen Welt etabliert. Zu den betroffenen Produkten
gehören bestimmte Versionen des CARESCAPE Central Information Center (CIC), Apex
Telemetry Server/Tower, Central Station (CSCS), Telemetry Server, B450
Patientenmonitor, B650 Patientenmonitor und B850 Patientenmonitor. Obwohl GE es
ablehnte, sich zur genauen Anzahl der betroffenen Geräte, die weltweit im
Einsatz sind, zu äußern, geht man davon aus, dass die installierte Basis in die
Hunderttausende geht.
Dieses Bündel von sechs Schwachstellen wurde erstmals am 18. September 2019
gemeldet. In den darauf folgenden Monaten arbeiteten CyberMDX, GE und CISA
zusammen, um die Schwachstellen zu bestätigen, ihre technischen Details zu