パスワードを忘れた? アカウント作成
15009693 story
医療

GE HealthcareのX線イメージングデバイスなど100機種以上、リモートからの攻撃が可能になる脆弱性 7

ストーリー by nagazou
医療機器はやられたらまずい 部門より
headless 曰く、

GE HealthcareのX線イメージングデバイスなど100機種以上に影響する脆弱性が2件公表された(CyberMDXのニュースリリースCISAのアドバイザリーArs Technicaの記事GE Healthcareのセキュリティポータル)。

影響を受けるのはMRI装置やCT装置、PET/CT装置、マンモグラフィー装置、汎用X線装置、汎用超音波診断装置など。影響を受ける装置にはPCが組み込まれており、UnixベースのOS上で管理用ソフトウェアが実行される。管理用ソフトウェアはGEのサーバーに接続してソフトウェア更新などを実行するが、認証時の通信が保護されていないため、ネットワーク経路上で認証情報が読み取られる可能性がある(CVE-2020-25175)。

また、認証情報はデフォルト値が公開されており、変更はGEのサポートチームのみが可能だという。そのため、顧客からの依頼によって認証情報を変更していなければ、デフォルトのままとなる。これにより、攻撃者は読み取った認証情報やデフォルトの認証情報を利用して患者の状態などに関するデータへのアクセス・変更が可能となる(CVE-2020-25179)。

GEによれば、パスワードをデフォルトから変更しておらず、かつローカルネットワークが信頼できない場合のCVSS 3.1スコアは9.8だが、GEが推奨する緩和策をとれば7.5まで低下するという。GEではローカルネットワークのセグメンテーションや明示的なポートアクセスルールの作成、IPSec VPNの使用などを推奨しており、デフォルトパスワードの変更やネットワーク構成に関する情報、機種別の情報などを得るためGEの担当者へ連絡するよう求めている。なお、現時点でこれらの脆弱性を狙った攻撃は報告されていないとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...