Araştırmacılar, GE HealthCare’in Vivid Ultrasound ürün ailesinde ve ilgili iki yazılım programında 11 güvenlik açığı keşfetti.
Sorunlar çeşitlidir ve hassas verilerin şifrelenmesinin eksik olmasını, sabit kodlanmış kimlik bilgilerinin kullanılmasını ve daha fazlasını içerir. CVSS 3.1 puanlama sistemine göre şiddetleri 5,7 ile 9,6 arasında değişmektedir.
Nozomi Ağları olarak raporunda açıkladıhatalar, tam ayrıcalıklarla uzaktan kod yürütülmesine (RCE) ve bu yetkilerin gerektireceği herhangi bir sayıda saldırı senaryosuna yol açabilir. Bununla birlikte, en ciddi durum senaryoları aynı zamanda söz konusu cihazlara fiziksel erişim gerektirmekte ve bu da sağlık tesislerine yönelik potansiyel riski büyük ölçüde azaltmaktadır.
Ancak Nozomi Networks’ün kıdemli güvenlik araştırmacısı Andrea Palanca, “Sömürülmek için gerçekten fiziksel erişim gerektiren güvenlik açıklarından bahsederken bile, bir saldırı olasılığının göz ardı edilebilir olmaktan çok uzak olduğuna inanıyoruz” diye uyarıyor. “Aslında dışarıdan kişilerin sıklıkla eriştiği hastane ve kliniklerde ultrason makineleri kullanılıyor ve araştırmamız, yalnızca bir dakikalık fiziksel erişimin bir saldırı gerçekleştirmek için yeterli olduğunu gösterdi. , ama aynı zamanda dışarıdakilerin de saldırıyı gerçekleştirme şansı olabilir.”
Kötü Haber
Nozomi’nin araştırmacıları, çalışmaları sırasında üç GE ürününü analiz etti: öncelikle kalp görüntüleme için tasarlanan Vivid T9 ultrason sistemi; çeşitli yönetim amaçları için kullanılan, önceden yüklenmiş Common Service Masaüstü Web uygulaması; ve doktorların ultrason görüntülerini incelemek ve analiz etmek için kullandığı EchoPAC klinik yazılım paketi.
Bazı yönlerden GE’nin ultrasonları, Kullanıcıların güvenlik sorunlarına neden olmasını önlemek. Örneğin, Common Service Masaüstü Web uygulaması yalnızca bir aygıtın localhost arabiriminde gösterilir ve bu sayede uzun mesafeli kurcalama önlenir. Yazılım yöneticiler tarafından şifreleri değiştirmek ve günlükleri toplamak gibi şeyler yapmak için kullanıldığından bu önemlidir.
Ancak diğer güvenli tasarım öğeleri o kadar iyi dayanamadı.
Vivid T9, esasen Windows 10’un GE’ye özel sürümünü çalıştıran eksiksiz bir bilgisayardır. Sağlık hizmetlerinde kullanımına odaklanmak için, cihaz mantığının çoğu, üzerinde çalışan uygulamalar ve komut dosyaları tarafından yönetilir. Örneğin grafik kullanıcı arayüzü (GUI), birkaç istisna dışında kullanıcıların temel işletim sistemi işlevlerine erişmesini kısıtlar.
Ancak sistemdeki eski bir hata (CVE-2020-6977, CVSS 8.4 dereceli bir kiosk güvenlik açığı) sayesinde araştırmacılar, bilgisayara ulaşmak ve yönetici ayrıcalıkları elde etmek için GUI’yi atlayabildiler. Ardından, Common Service Desktop’ta 8.4 önem derecesine sahip bir komut ekleme sorunu olan CVE-2024-1628’i kullanarak, makineyi donduran fidye yazılımını bırakarak rastgele kod yürütmeyi başardılar.
Programın “Paylaş” özelliğinin etkinleştirilmesi koşuluyla, EchoPAC’ten yararlanmanın daha da kolay olduğu ortaya çıktı. Bir doktorun iş istasyonuna bağlantı kuran bir saldırgan, canlı veritabanı sunucusu örneğine erişmek için sabit kodlanmış kimlik bilgilerini (CVE-2024-27107, kritik 9.6 CVSS) kötüye kullanabilir. Burada hasta verilerini okuyabilir, düzenleyebilir ve çalabilirler.
İyi Haber
İşin püf noktası şu ki, farklı olarak Nesnelerin İnterneti (IoT) bağlantılı tıbbi cihazlarT9’dan ve Ortak Hizmet Masaüstü’nden yararlanmak için bir kötü niyetli içeriden biri cihazın yerleşik klavyesine ve izleme dörtgenine fiziksel erişime sahip olun. (Bu arada EchoPAC’e sızmak daha kolaydır, yalnızca yerel alan ağında bir dayanak noktası gerektirir ve başka herhangi bir kimlik bilgisi gerektirmez.)
Bu sağlık tesisleri için iyi bir haber ancak ufak bir uyarımız var. Saldırgan, T9’un açıktaki USB bağlantı noktasına kötü amaçlı bir sürücü takarak gerekli tüm tıklama ve yazma işlemlerinden kaçınabilir. Nozomi, deneylerinde özel olarak hazırlanmış bir sürücünün T9’u yalnızca bir dakika içinde nasıl tehlikeye atabileceğini gösterdi.
Palanca, “Bu güvenlik açıklarından yararlanmanın yol açabileceği ve pratikte kanıtladığımız önemli etkiler göz önüne alındığında, bulgularımızın giderek daha fazla satıcıya mümkün olduğunca erken bir zamanda daha güçlü güvenlik önlemleri alma konusunda ilham vereceğini umuyoruz” diyor.
11 güvenlik açığının tamamına yönelik yamalar ve hafifletmeler GE HealthCare’de mevcuttur ürün güvenliği portalı.
