Медицинское оборудование компании General Electric Healthcare поставлялось со скрытыми аккаунтами с одинаковыми паролями по умолчанию. Эту уязвимость невозможно устранить самостоятельно, и она угрожает сетям множества больниц.
Уязвимость обнаружила в мае компания CyberMDX. Как сообщили специалисты CyberMDX, более сотни моделей медицинских диагностических устройств GE Healthcare поставляются с аккаунтами с одинаковыми паролями по умолчанию, которые может использовать посторонний.
Скрытые учетные записи встроены в прошивки устройств. Они необходимы серверам GE Healthcare для подключения к оборудованию, для его обслуживания, обновления и проверок работы. Среди затронутых проблемой устройств оказались компьютерные томографы, рентгеновские аппараты, МРТ-системы. В список моделей вошли Advantage Workstation & Server, Optima, Innova, LightSpeed ??Pro 16, LightSpeed ??RT 16, Revolution EVO, Senographe Pristina, Logiq, Voluson и другие.
Все скрытые аккаунты используют один и тот же пароль по умолчанию, который можно найти в интернете. Это позволяет подключить устройство к любому серверу, а не только к серверам GE Healthcare. Уязвимость дает возможность получить доступ к устройству и запустить вредоносный код, просмотреть или изменить данные пациента, хранящиеся на устройстве, на серверах больницы или поставщика медицинских услуг. Кроме того, ошибка может привести к нарушениям работы самого устройства. Усугубляет ситуацию то, что клиенты не могут сами исправить уязвимость. Вместо этого они должны просить техподдержку GE Healthcare изменить учетные данные. Пользователи, которые не сделают запрос в сервисный центр компании, будут продолжать использовать пароль по умолчанию. Производитель обещает предоставить исправления и дополнительную информацию в ближайшее время.
В своем заявлении представители GE Healthcare написали, что им неизвестно о каком-либо несанкционированном доступе к устройствам или использовании уязвимости.
Как отмечают в CyberMDX, для использования скрытых учетных записей и получения доступа к устройству необходимо иметь к внутренней сети больницы. Случаев, когда злоумышленники получили доступ к уязвимым устройствам через интернет, не зафиксировано.
Тем не менее, дефекту присвоен рейтинг серьезности CVSS 9,8 из 10. Сбои в медицинском оборудовании особенно опасны, так как они могут привести к гибели людей. В 1982 году канадская фирма AECL выпустила аппарат для лучевой терапии Therak-25. В программный код, который отвечал за оценку состояния пациента, закралась ошибка. Последствием сбоя стала передозировка пациентов радиацией. В период с 1985 по 1987 год было зарегистрировано шесть случаев таких передозировок, два из них были смертельными.
Спустя четыре года подобный случай произошел в Испании на аппарате Sagitar-35. За 10 дней аппарат выдал 25 пациентам сверхвысокую дозу радиации, три человека погибли.
Astrei
Для тех кто работает с медоборудованием это не новость уже лет с десять как. И не только GE этим грешит, но и остальные крупные компании. Для старых, но вполне себе ещё используемых мед. систем, пароли можно найти на просторах сети или даже за пару секунд подобрать по словарю, ибо там совсем простые вещи вроде 'operator'. Вот только по очевидным причинам рабочие станции всяких томографов обычно не подключаются к интернету и толку от этих знаний для злоумышленников нет. Если уж на то пошло, на многих старых аппаратах МРТ/КТ от другого не менее именитого производителя до сих пор стоит XP. Пускать её в интернет — равносильно выстрелу себе в ногу и без всяких утекших паролей. В мед. технике из-за сложностей сертификации прогресс идёт небыстро. Потому и железо и софт там вяло догоняют основной рынок.
nikolayv81
Только непонятна тогда часть статьи про то для чего эти пароли. Алгоритм получается — звоним в поддержку подключаем во внешнюю сеть и поддержка что-то там делает? А с учётом того что поддержка, судя по новости, может смотреть и править историю пациента то тогда вообще возникает вопрос что там с врачебной тайной.
corvair
А вот лабораторное оборудование очень часто торчит в интернете с устаревшей ОС, в лучшем случае это Windows 7, и с паролями по умолчанию, порой состоящими из одной цифры. Причина этого в глючном и устаревшем ПО, требующем частых танцев с бубном. Порой возникает ощущение, что чем дороже железо, тем хуже ПО к нему, часто бывает так, что софт к какому-нибудь анализатору был разработан ещё во времена Windows 9x и поддерживает последующие версии с помощью шаткого нагромождения костылей. Например у меня на одной из систем стоит ПО, восходящее к середине 70х, но оно со временем отполировано так, что его можно смело ставить на АЭС или отправлять в дальний космос. Видимо, всё дело в сертификации, длительной и дорогостоящей, приводящей к появлению и укоренению замшелого легаси. Пользователям же при работе часто приходится обходить баги, кстати, на том же Therac-25 была возможна безаварийная работа, но только в стиле сапёра, который как известно, ошибается только один раз.
Насчёт паролей — очень часто ставят пароль из одного знака (догадаетесь какого) и настоятельно не рекомендуют его менять во избежание проблем. То же самое с антивирусами, их часто нельзя ставить по тем же причинам, плюс отключенные механизмы самозащиты ОС, ведь дорогостоящему глюкотрону надо исполнять данные :). В итоге оказывается, что торчащий во внешку в режиме 24/7 несчастный анализатор в ЦРБ состоит в нескольких ботнетах, спамит, ддосит, майнит и ещё умудряется выделять ресурсы на свою основную деятельность. Но бесконечно это продолжаться не может, рано или поздно вирусная нагрузка приводит к падению системы.