La Agencia de Seguridad DHS ha informado de seis vulnerabilidades de clasificación crítica en varios dispositivos médicos de GE.
En el documento informativo ICSMA-20-023-01 vemos que la lista de dispositivos afectados se resume a los siguientes: los servidores de telemetría GE CARESCAPE y ApexPro, la estación central CARESCAPE (CSCS), los sistemas del Centro de información clínica (CIC) y los monitores CARESCAPE B450, B650, B850.
Entre las vulnerabilidades descubiertas se incluyen el almacenamiento desprotegido de credenciales, validación de entrada incorrecta, Utilización de credenciales en texto plano en el código de la aplicación, falta de autenticación para funciones crítica, subida de archivos sin restricciones en el tipo de archivo y cifrados inadecuados o débiles.
GE Comenta que por el momento no se ha reportado ningún incidente de ataque en los que se aproveche estas nuevas vulnerabilidades.
Los fallos son:
- CVE-2020-6961, nivel crítico, podría permitir a un atacante obtener acceso a la clave privada SSH en los archivos de configuración.
- CVE-2020-6962, nivel crítico, es una vulnerabilidad de validación de entrada en la utilidad de configuración del sistema basada en la web que podría permitir a un atacante obtener la ejecución arbitraria de código remoto.
- CVE-2020-6963, nivel crítico, donde los productos afectados utilizan credenciales SMB expuestas en texto plano en el código de la aplicación, lo que puede permitir que un atacante ejecute código arbitrario de forma remota si se explota.
- CVE-2020-6964, nivel crítico, donde el servicio integrado para el cambio de teclado de los dispositivos afectados podría permitir a los atacantes obtener acceso con un teclado remoto sin autenticación a través de la red.
- CVE-2020-6965, nivel crítico, es una vulnerabilidad en el mecanismo de actualización de software que permite a un atacante autenticado cargar archivos arbitrarios en el sistema a través de un paquete de actualización.
- CVE-2020-6966, nivel crítico, los productos afectados utilizan un esquema de cifrado débil para el control de escritorio remoto, que puede permitir que un atacante obtenga la ejecución remota de código de dispositivos en la red.
GE está en el proceso de desarrollar y lanzar parches para estos problemas. Mientras tanto, la compañía recomienda:
- Aislar las redes MC e IX y,en caso de necesitar conectividad fuera de las redes MC y/o IX, utilizar un router/firewall.
- El router/firewall debería configurarse para bloquear todo el tráfico entrante iniciado desde fuera de la red, con la excepción de los flujos de datos clínicos necesarios.
- Restringir el acceso físico a estaciones centrales, servidores de telemetría y las redes MC e IX. Además de cambiar la contraseña por defecto de Webmin.
- Se siguen las mejores prácticas de gestión de contraseñas.
- La mejor manera de eliminar las vulnerabilidades es encontrarlas lo antes posible utilizando un ciclo de vida de desarrollo seguro (SDLC). En cada etapa del desarrollo del producto, se identifican y erradican dichas vulnerabilidades.
Más información:
Us Cert
https://www.us-cert.gov/ics/advisories/icsma-20-023-01
GE Healthcare
https://www.gehealthcare.com/security
SC Magazine
https://www.scmagazine.com/home/health-care/critical-vulnerabilities-found-in-ge-medical-gear/