Una vulnerabilidad en el software de gestión patentado de GE Healthcare utilizado para dispositivos de imágenes médicas podría poner en riesgo la privacidad de la salud de los pacientes, potencialmente sus vidas.
La falla recibió el nombre de MDHexRay y una puntuación de gravedad de 9,8 sobre 10. Afecta a más de 100 modelos de dispositivos de TC, rayos X y resonancia magnética en una docena de líneas de productos de la empresa.
Dispositivos en una decena de familias afectadas
MDHexRay consta de las credenciales predeterminadas que se utilizan en el software de gestión de código cerrado de GE que se ejecuta sobre el sistema operativo basado en Unix instalado en los sistemas de imágenes médicas.
Las credenciales, que están disponibles públicamente, autentican las conexiones a los servidores de GE para tareas de actualización y mantenimiento.
La empresa de ciberseguridad sanitaria CyberMDX descubrió y nombró la vulnerabilidad. Los investigadores informaron de la falla hacia fines de mayo de 2020 y han estado ayudando a GE Healthcare a encontrar una solución de mitigación.
En la divulgación inicial a GE, se identificaron varias familias de dispositivos afectados. Desde entonces, se han descubierto más de 100. En un informe compartido con BleepingComputer, CyberMDX dice que las siguientes líneas de productos son vulnerables:
- Brivo
- Definium
- Descubrimiento
- Innova
- Optima
- Odisea
- PetTrace
- Precisión
- Seno
- Revolución
- Ventri
- Xeleris
Mitigar el problema
El cambio de estos detalles de autenticación solo es posible por parte del fabricante, cuando los clientes lo solicitan a través del sistema de soporte de GE Healthcare.
No está claro cuántos clientes hicieron esta solicitud, en su caso. Elad Luz, jefe de investigación de CyberMDX, le dijo a BleepingComputer que GE comenzó recientemente a notificar a los clientes a través de correos electrónicos y cartas, informándoles del riesgo de seguridad.
Un enfoque más rápido y sencillo, al menos en teoría, sería que GE iniciara un restablecimiento de credenciales e informara a sus clientes con anticipación. Sin embargo, es más fácil decirlo que hacerlo.
Luz nos dijo que una solución discutida con GE fue cambiar la contraseña a través de sesiones de mantenimiento remoto que usan un protocolo seguro (autenticación confiable y soporte de cifrado).
El investigador dice que este método no sería factible porque requeriría un parche. Dada la gran cantidad de dispositivos vulnerables, esto sería un desafío difícil. Además, incluso con un parche, aún tardaría años en llegar a toda la base de clientes, dice Luz.
Con los dispositivos médicos, a veces se necesita asistencia en las instalaciones para asegurarse de que todo esté configurado correctamente, especialmente las reglas de firewall.
Hasta que se cambie la contraseña, las instalaciones con dispositivos vulnerables deben seguir la gestión de la red (políticas de acceso) y las mejores prácticas de seguridad. CyberMDX recomienda restringir los siguientes puertos al estado de escucha:
- FTP (puerto 21): utilizado por la modalidad para obtener archivos ejecutables del servidor de mantenimiento
- SSH (puerto 22)
- Telnet (puerto 23): utilizado por el servidor de mantenimiento para ejecutar comandos de shell en la modalidad
- REXEC (puerto 512): utilizado por el servidor de mantenimiento para ejecutar comandos de shell en la modalidad
La explotación de MDHexRay es bastante sencilla, nos dijo Luz. Es posible desde la red interna de un hospital o clínica y le da al atacante acceso de lectura y escritura a la máquina de imágenes vulnerable, agregó el investigador.
Lo que el adversario puede obtener es información de salud personal, pero también puede manipular los datos, influyendo así en los resultados de una determinada terapia, nos dijo el investigador. También existe la posibilidad de denegación de servicio.
Vale la pena señalar que los datos de imágenes residen en la máquina solo temporalmente, ya que su almacenamiento permanente está en el sistema de comunicación y archivo de imágenes (PACS).
En este momento no hay indicios de que MDHexRay haya sido explotado en estado salvaje. BleepingComputer se acercó a GE Healthcare para obtener una declaración y la compañía confirmó que no tiene conocimiento de ningún incidente que aproveche esta vulnerabilidad.
“No tenemos conocimiento de ningún acceso no autorizado a datos o incidente en el que esta vulnerabilidad potencial haya sido explotada en una situación clínica. Hemos realizado una evaluación de riesgos completa y llegamos a la conclusión de que no existe ningún problema de seguridad del paciente. Mantener la seguridad, la calidad y la seguridad de nuestros dispositivos es nuestra máxima prioridad “.
CISA publicará hoy un aviso con detalles sobre cómo los hospitales y las clínicas con sistemas de imágenes de GE Healthcare vulnerables pueden defenderse de los adversarios que pueden intentar explotar la vulnerabilidad de las credenciales predeterminadas de MDHexRay.
