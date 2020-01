New York (ots/PRNewswire) - CISA ICS hat ein Beratungsdokument mit 6schwerwiegenden CVEs (Common Vulnerabilities and Exposures: häufigeSicherheitsrisiken und Sicherheitslücken) für die Systeme von GE CARESCAPE,ApexPro und Clinical Information Center (CIC) herausgegeben.Eine Sammlung von sechs Cybersicherheits-Schwachstellen wurde in einer Reihe vonin Krankenhäusern beliebten Geräten von GE Healthcare entdeckt, teilte dieCybersecurity and Infrastructure Security Agency (CISA) des US Department ofHomeland Security heute mit. Die vom CyberMDX, einem Cybersicherheitsanbieterfür das Gesundheitswesen, entdeckten Schwachstellen könnten es einem Angreiferermöglichen, Änderungen auf der Softwareebene des Geräts vorzunehmen, was zumöglichen Auswirkungen führen kann, wie der Unbrauchbarkeit des Geräts, derBeeinträchtigung der Gerätefunktionalität, bestimmter Änderungen derAlarmeinstellungen und der Gefährdung durch PHI (Protected Health Information:geschützte Gesundheitsinformationen).Das CyberMDX-Forschungsteam fand diese Schwachstellen - zusammenfassend als"MDhex" bezeichnet - bei der Untersuchung der Verwendung veralteterWebmin-Versionen und potenziell problematischer offener Port-Konfigurationen inder CARESCAPE CIC Pro-Workstation von GE. Die Untersuchung ergab schließlichsechs verschiedene Konstruktionsfehler, die allesamt hochgradigeSicherheitslücken in den Systemen der GE CARESCAPE-Patientenmonitore, desApexPro und des Clinical Information Center (CIC) darstellten. Fünf derSchwachstellen erhielten gemäß CVSS (Common Vulnerability Scoring System:Bewertung von Schwachstellen) (v3.1)-Werte von 10, während die verbleibendeSchwachstelle auf der Skala 1-10 des National Infrastructure Advisory Council(NIAC) zur Bewertung des Schweregrads von Computersystem-Schwachstellen mit 8,5bewertet wurde.Die in 2007 eingeführte Produktlinie CARESCAPE ist äußerst populär und hat sichin Krankenhäusern auf der ganzen Welt etabliert. Zu den betroffenen Produktengehören bestimmte Versionen des CARESCAPE Central Information Center (CIC), ApexTelemetry Server/Tower, Central Station (CSCS), Telemetry Server, B450Patientenmonitor, B650 Patientenmonitor und B850 Patientenmonitor. Obwohl GE esablehnte, sich zur genauen Anzahl der betroffenen Geräte, die weltweit imEinsatz sind, zu äußern, geht man davon aus, dass die installierte Basis in dieHunderttausende geht.Dieses Bündel von sechs Schwachstellen wurde erstmals am 18. September 2019gemeldet. In den darauf folgenden Monaten arbeiteten CyberMDX, GE und CISAzusammen, um die Schwachstellen zu bestätigen, ihre technischen Details zuprüfen, das damit verbundene Risiko zu bewerten und den verantwortungsvollenOffenlegungsprozess abzuarbeiten. Heute gipfelten diese Bemühungen in derVeröffentlichung eines offiziellen Gutachtens durch die CISA - ICSMA-120-023-01(https://www.us-cert.gov/ics/advisories/icsma-20-023-01).Der Forschungsleiter von CyberMDX, Elad Luz, kommentierte: "Unser Ziel ist es,die Gesundheitsdienstleister auf diese Probleme aufmerksam zu machen, damit sieschnell angegangen werden können - und so zu sichereren Krankenhäusernbeitragen. Daher ist jede Offenlegung ein weiterer Schritt in die richtigeRichtung. Die Schnelligkeit, Reaktionsfähigkeit und Ernsthaftigkeit, mit der GEdiese Angelegenheit behandelt hat, ist sehr ermutigend. Gleichzeitig gibt esnoch viel zu tun, und es ist uns sehr daran gelegen, dass GE Sicherheitspatchesfür diese wichtigen Geräte herausgibt."Jede der sechs Schwachstellen basiert auf einem anderen Aspekt des Designs undder Konfiguration der Geräte. Eine der Schwachstellen betrifft beispielsweiseungeschützte private Schlüssel, die SSH-Missbrauch ermöglichen, während eineandere Schwachstelle fehlerhafte SMB-Verbindungen aufgrund vonAnmeldeinformationen ermöglicht, die im Betriebssystem Windows XP Embedded (XPe)fest codiert sind. Das gemeinsame Element aller MDhex-Schwachstellen - über diebetroffenen Geräte und ihren gemeinsamen Entdeckungspunkt hinaus - ist, dass siealle einen direkten Weg zur Kompromittierung des Geräts darstellen; sei es durchillegale Kontrolle, Lese-, Schreib- oder Upload-Fähigkeiten. Wenn dieseSchwachstelle ausgenutzt wird, könnte sie sich direkt auf die Vertraulichkeit,Integrität und Verfügbarkeit von Geräten auswirken.Die Entdeckung dieser Schwachstellen ist das jüngste in einer schnell wachsendenListe von Beispielen, die die Notwendigkeit für alle Akteure im Bereich derMedizinprodukte unterstreicht, ihre Wachsamkeit beim Schutz derPatientensicherheit zu verdoppeln - und damit die Sicherheit undWiderstandsfähigkeit von Medizinprodukten sowohl vor als auch nach derMarkteinführung zu verbessern.Weitere Informationen über die Anfälligkeit finden Sie hier (https://www.cybermdx.com/vulnerability-research-disclosures/cic-pro-and-other-ge-devices).Über das CyberMDX-Forschungs- und Analyseteam für CybersicherheitDas Forschungs- und Analystenteam von CyberMDX arbeitet regelmäßig mitOrganisationen für medizinische Geräte an der verantwortungsvollen Offenlegungvon Sicherheitslücken. Das Team für Bedrohungsaufklärung arbeitet unermüdlichdaran, Krankenhäuser und Gesundheitsorganisationen vor böswilligen Angriffen zuschützen. Die Forscher, White-Hat-Hacker und Ingenieure des Teams sammelnInformationen über mögliche Angriffspfade, um die Motive, Mittel und Methodender Angreifer zu verstehen und so den bestmöglichen Schutz zu gewährleisten.Über CyberMDXAls Pionier im Bereich der medizinischen Cybersicherheit ist CyberMDX dasUnternehmen hinter der führenden IoMT-Sichtbarkeits- und Sicherheitslösung.CyberMDX identifiziert, kategorisiert und schützt angeschlossene medizinischeGeräte - und gewährleistet damit sowohl die Ausfallsicherheit als auch diePatientensicherheit und den Datenschutz. Mit der kontinuierlichenEndpunkterkennung und -zuordnung von CyberMDX, der umfassenden Risikobewertung,der KI-gestützten Eindämmung und Reaktion sowie der betrieblichen Analyse lassensich Risiken leicht mindern und Anlagen optimieren. 