Araştırmacılar, GE HealthCare’in Vivid Ultrasound ürün ailesinde ve ilgili iki yazılım programında 11 güvenlik açığı keşfetti.
Sorunlar çeşitlidir ve hassas verilerin şifrelenmesinin eksik olmasını, sabit kodlanmış kimlik bilgilerinin kullanılmasını ve daha fazlasını içerir. CVSS 3.1 puanlama sistemine göre şiddetleri 5,7 ile 9,6 arasında değişmektedir.
Nozomi Ağları olarak raporunda açıkladı, hatalar tam ayrıcalıklarla uzaktan kod yürütülmesine (RCE) ve bu yetkilerin gerektireceği herhangi bir sayıda saldırı senaryosuna yol açabilir. Bununla birlikte, en ciddi durum senaryoları aynı zamanda söz konusu cihazlara fiziksel erişim gerektirmekte ve bu da sağlık tesislerine yönelik potansiyel riski büyük ölçüde azaltmaktadır.
Kötü Haber
Nozomi’nin araştırmacıları, çalışmaları sırasında üç GE ürününü analiz etti: öncelikle kalp görüntüleme için tasarlanan Vivid T9 ultrason sistemi; çeşitli yönetim amaçları için kullanılan, önceden yüklenmiş Common Service Masaüstü Web uygulaması; ve doktorların ultrason görüntülerini incelemek ve analiz etmek için kullandığı EchoPAC klinik yazılım paketi.
GE’nin ultrasonları bazı açılardan Kullanıcıların güvenlik sorunlarına neden olmasını önlemek. Örneğin, Common Service Masaüstü Web uygulaması yalnızca bir aygıtın localhost arabiriminde gösterilir ve bu sayede uzun mesafeli kurcalama önlenir. Yazılım yöneticiler tarafından şifreleri değiştirmek ve günlükleri toplamak gibi şeyler yapmak için kullanıldığından bu önemlidir.
Ancak diğer güvenli tasarım öğeleri o kadar iyi dayanamadı.
Vivid T9, esasen Windows 10’un GE’ye özel sürümünü çalıştıran eksiksiz bir bilgisayardır. Sağlık hizmetlerinde kullanımına odaklanmak için, cihaz mantığının çoğu, üzerinde çalışan uygulamalar ve komut dosyaları tarafından yönetilir. Örneğin grafik kullanıcı arayüzü (GUI), birkaç istisna dışında kullanıcıların temel işletim sistemi işlevlerine erişmesini kısıtlar.
Ancak sistemdeki eski bir hata (CVE-2020-6977, CVSS 8.4 dereceli bir kiosk güvenlik açığı) sayesinde araştırmacılar, bilgisayara ulaşmak ve yönetici ayrıcalıkları elde etmek için GUI’yi atlayabildiler. Ardından, Common Service Desktop’ta 8.4 önem derecesine sahip bir komut ekleme sorunu olan CVE-2024-1628’i kullanarak, makineyi donduran fidye yazılımını bırakarak rastgele kod yürütmeyi başardılar.
Programın “Paylaş” özelliğinin etkinleştirilmesi koşuluyla, EchoPAC’ten yararlanmanın daha da kolay olduğu ortaya çıktı. Bir doktorun iş istasyonuna bağlantı kuran bir saldırgan, canlı veritabanı sunucusu örneğine erişmek için sabit kodlanmış kimlik bilgilerini (CVE-2024-27107, kritik 9.6 CVSS) kötüye kullanabilir. Burada hasta verilerini okuyabilir, düzenleyebilir ve çalabilirler.
Güzel haberler
İşin püf noktası şu ki, farklı olarak Nesnelerin İnterneti (IoT) bağlantılı tıbbi cihazlarT9’dan ve Ortak Hizmet Masaüstü’nden yararlanmak için bir kötü niyetli içeriden biri cihazın yerleşik klavyesine ve izleme dörtgenine fiziksel erişime sahip olun. (Bu arada EchoPAC’e sızmak daha kolaydır, yalnızca yerel alan ağında bir dayanak noktası gerektirir ve başka herhangi bir kimlik bilgisi gerektirmez.)
Bu, sağlık tesisleri için iyi bir haber ancak aynı zamanda bir uyarı da var: Bir saldırgan, T9’un açıkta kalan USB bağlantı noktasına kötü amaçlı bir sürücü takarak gerekli tüm tıklama ve yazma işlemlerinden kaçınabilir. Nozomi, deneylerinde özel olarak hazırlanmış bir sürücünün T9’u yalnızca bir dakika içinde nasıl tehlikeye atabileceğini gösterdi. Bu nedenle Nozomi, tıp uzmanlarının ultrason cihazlarını gözetimsiz bırakmaktan kaçınmasını önermektedir.
11 güvenlik açığının tümü için yamalar ve hafifletmeler GE HealthCare’de mevcuttur ürün güvenliği portalı.