General Electric оставила пароль по умолчанию в медицинских аппаратах радиотерапии
Медицинское оборудование компании General Electric Healthcare поставлялось со скрытыми аккаунтами с одинаковыми паролями по умолчанию. Эту уязвимость невозможно устранить самостоятельно, и она угрожает сетям множества больниц.
Уязвимость обнаружила в мае компания CyberMDX. Как сообщили специалисты CyberMDX, более сотни моделей медицинских диагностических устройств GE Healthcare поставляются с аккаунтами с одинаковыми паролями по умолчанию, которые может использовать посторонний.
Скрытые учетные записи встроены в прошивки устройств. Они необходимы серверам GE Healthcare для подключения к оборудованию, для его обслуживания, обновления и проверок работы. Среди затронутых проблемой устройств оказались компьютерные томографы, рентгеновские аппараты, МРТ-системы. В список моделей вошли Advantage Workstation & Server, Optima, Innova, LightSpeed Pro 16, LightSpeed RT 16, Revolution EVO, Senographe Pristina, Logiq, Voluson и другие.
Все скрытые аккаунты используют один и тот же пароль по умолчанию, который можно найти в интернете. Это позволяет подключить устройство к любому серверу, а не только к серверам GE Healthcare. Уязвимость дает возможность получить доступ к устройству и запустить вредоносный код, просмотреть или изменить данные пациента, хранящиеся на устройстве, на серверах больницы или поставщика медицинских услуг. Кроме того, ошибка может привести к нарушениям работы самого устройства. Усугубляет ситуацию то, что клиенты не могут сами исправить уязвимость. Вместо этого они должны просить техподдержку GE Healthcare изменить учетные данные. Пользователи, которые не сделают запрос в сервисный центр компании, будут продолжать использовать пароль по умолчанию. Производитель обещает предоставить исправления и дополнительную информацию в ближайшее время.
В своем заявлении представители GE Healthcare написали, что им неизвестно о каком-либо несанкционированном доступе к устройствам или использовании уязвимости.
Как отмечают в CyberMDX, для использования скрытых учетных записей и получения доступа к устройству необходимо иметь к внутренней сети больницы. Случаев, когда злоумышленники получили доступ к уязвимым устройствам через интернет, не зафиксировано.
Тем не менее, дефекту присвоен рейтинг серьезности CVSS 9,8 из 10. Сбои в медицинском оборудовании особенно опасны, так как они могут привести к гибели людей. В 1982 году канадская фирма AECL выпустила аппарат для лучевой терапии Therak-25. В программный код, который отвечал за оценку состояния пациента, закралась ошибка. Последствием сбоя стала передозировка пациентов радиацией. В период с 1985 по 1987 год было зарегистрировано шесть случаев таких передозировок, два из них были смертельными.
Спустя четыре года подобный случай произошел в Испании на аппарате Sagitar-35. За 10 дней аппарат выдал 25 пациентам сверхвысокую дозу радиации, три человека погибли.