A empresa de segurança CyberMDX anunciou ontem a descoberta de uma vulnerabilidade nos sistemas de imagem da GE Healthcare para medicina (raios-X, ressoância e tomografia). O alerta foi publicado também pela CISA como CVE-2020-25179. A vulnerabilidade, batizada de MDhex-Ray, afeta uma longa lista de sistemas fabricados pela GE e tem gravidade CVSS 9,8.
A exploração bem-sucedida da vulnerabilidade pode expor dados confidenciais, tais como informaçoes pessoais e de saúde, como pode permitir que o invasor execute código à vontade, o que pode afetar a disponibilidade do sistema e permitir a manipulação de informações.
Veja isso
Dispositivos médicos estão sob grande risco nos hospitais
Medtronic sofre invasão de hackers asiáticos
Segundo a CyberMDX, o potencial impacto dessas vulnerabilidades, juntamente com a relativa facilidade de exploração, é o que as torna tão críticas em pontuação. A falha foi descoberta em maio de 2020, e em seguira a CyberMDX contatou a GE Healthcare para relatar o problema. As duas organizações estão trabalhando juntas para resolvê-lo.
Mais de 100 dispositivos são afetados por esta vulnerabilidade, nas seguintes linhas de produtos:
| Ressonância magnética | Signa, Brivo, Optima |
| Ultrassom | LOGIQ, Vivid, EchoPAC, Image Vault, Voluson |
| Visualização Avançada | AW |
| Intervencionista | Innova, Optima |
| Raio X | Brivo, Definium, AMX, Discovery, Optima, Precision |
| Mamografia | Seno, Senographe Pristina |
| Tomografia computadorizada | BrightSpeed, Brivo, Discovery, LightSpeed, Optima, Revolution, Frontier |
| Medicina Nuclear, PET / CT | Brivo, Discovery, Infinia Optima, Ventri, Xeleris, PET Discovery, PETtrace |
Os equipamentos afetados contam com um PC rodando sistema operacional baseado em Unix e possuem softwares proprietários que gerenciam o dispositivo e seus procedimentos de manutenção e atualização feitos pela GE por meio da internet. O software de atualização e manutenção autentica conexões usando credenciais que são expostas publicamente (podem ser encontradas online) e faz isso periodicamente com os servidores de manutenção online da GE.
As credenciais só podem ser atualizadas pela equipe de suporte da GE Healthcare. Se não for atualizado por meio de uma solicitação do cliente, as credenciais serão deixadas como padrão. Como os operadores não sabem da existência dessas credenciais ou da natureza do mecanismo de manutenção, a CyberMDX descobriu que essas modalidades carecem de restrições à comunicação de manutenção com outras entidades que não os servidores da GE.
