研究人员在 GE HealthCare 的 Vivid Ultrasound 系列产品以及两个相关软件程序中发现了 11 个安全漏洞。
问题多种多样,包括敏感数据缺少加密、使用硬编码凭据等等。 CVSS 3.1 评分系统的严重程度从 5.7 到 9.6 不等。
正如 Nozomi Networks在其报告中所解释的那样,这些错误可能会导致具有完全权限的远程代码执行 (RCE) 以及此类权限可能带来的任何数量的攻击场景。然而,最严重的情况还需要物理访问相关设备,从而大大降低医疗机构的潜在风险。
然而,“即使在谈论确实需要物理访问才能被利用的漏洞时,我们也认为攻击的可能性也远不能忽略不计,”Nozomi Networks 的高级安全研究员 Andrea Palanca 警告说。 “事实上,超声波机用于外部人员经常访问的医院和诊所,而我们的研究表明,只需一分钟的物理访问就足以执行攻击。因此,我们认为不仅是恶意的内部人员,但外人也可能有机会完成攻击。”
坏消息
在研究过程中,Nozomi 的研究人员分析了 GE 的三款产品:Vivid T9 超声系统,主要用于心脏成像;其预装的 Common Service Desktop Web 应用程序,用于各种管理目的;以及 EchoPAC 临床软件包,医生用它来查看和分析超声图像。
在某些方面,GE 的超声波设备旨在防止用户造成安全问题。例如,公共服务桌面Web应用仅暴露在设备的localhost接口上,防止远程篡改。这很重要,因为管理员使用该软件来执行更改密码和收集日志等操作。
然而,其他安全设计元素却没有那么有效。
Vivid T9 本质上是一台运行 GE 定制版本 Windows 10 的完整 PC。为了将其重点用于医疗保健环境,大部分设备逻辑由其上运行的应用程序和脚本处理。例如,它的图形用户界面 (GUI) 限制用户访问底层操作系统功能,但有一些例外。
然而,由于系统中的一个老错误——CVE-2020-6977,一个 CVSS 8.4 级的 kiosk 突破漏洞——研究人员能够绕过 GUI 进入 PC 并获得管理权限。然后,利用 Common Service Desktop 中严重性为 8.4 的命令注入问题 CVE-2024-1628,他们能够执行任意代码,投放导致机器冻结的勒索软件。
事实证明,只要启用了该程序的“共享”功能,利用 EchoPAC 就更加简单。通过连接到医生的工作站,攻击者可以滥用硬编码凭据(CVE-2024-27107、关键 9.6 CVSS)来访问其实时数据库服务器实例。在那里,他们可以读取、编辑和窃取患者数据。
好消息
问题在于,与物联网 (IoT) 连接的医疗设备不同,利用 T9 和通用服务桌面需要恶意内部人员能够物理访问设备的嵌入式键盘和触控板。(而 EchoPAC 更容易入侵,只需要在局域网中立足,不需要任何其他凭证。)
这对于医疗机构来说是个好消息,但有一点需要注意。攻击者可以通过将恶意驱动器插入 T9 暴露的 USB 端口来避免所有必要的点击和键入。在实验中,Nozomi 展示了特制驱动器如何在一分钟内破坏 T9。
帕兰卡说:“考虑到利用这些漏洞可能造成的重大影响,并且我们已经实际证明了这一点,我们希望我们的研究结果能够激励越来越多的供应商尽早采取更强有力的安全措施。”
GE HealthCare 的产品安全门户提供所有 11 个漏洞的补丁和缓解措施。
发表评论
您还未登录,请先登录。
登录