Security Week 05: критические уязвимости медицинских устройств
23 января подразделение американского департамента внутренней безопасности, ответственное за киберугрозы, опубликовало информацию о шести серьезных уязвимостях в медицинских устройствах (новость, исходный документ). Проблемы были обнаружены в больничном оборудовании компании GE, включая медицинские мониторы Carescape B450, 650 и 850. По шкале CVSSv3 пять уязвимостей получили 10 баллов — высшую оценку, обозначающую возможность удаленной эксплуатации без специальных навыков. Раскрытие данных о проблемах в специализированной технике происходит нечасто и позволяет оценить уровень защищенности таких устройств.
На фото выше — одно из устройств, упомянутых в сообщении, монитор Carescape B650. Спецификации на сайте отсутствуют, и даже в даташите не указана аппаратная платформа и используемая операционная система. Но дата в документе (2010 год) указывает на очевидную проблему такого оборудования: стоит дорого, используется долго. По сути это независимый компьютер с 15-дюймовым дисплеем, способный работать автономно и подключающийся к проводной или беспроводной сети для передачи данных.
Для этого устройства актуальны две уязвимости: CVE-2020-6962 описывает проблему с валидацией введенных данных в веб-интерфейсе, которая может привести к запуску произвольного кода. CVE-2020-6965, судя по всему, намекает на незащищенную систему обновления ПО, которая позволяет загружать на монитор произвольные файлы без авторизации.
Читать дальше →
На фото выше — одно из устройств, упомянутых в сообщении, монитор Carescape B650. Спецификации на сайте отсутствуют, и даже в даташите не указана аппаратная платформа и используемая операционная система. Но дата в документе (2010 год) указывает на очевидную проблему такого оборудования: стоит дорого, используется долго. По сути это независимый компьютер с 15-дюймовым дисплеем, способный работать автономно и подключающийся к проводной или беспроводной сети для передачи данных.
Для этого устройства актуальны две уязвимости: CVE-2020-6962 описывает проблему с валидацией введенных данных в веб-интерфейсе, которая может привести к запуску произвольного кода. CVE-2020-6965, судя по всему, намекает на незащищенную систему обновления ПО, которая позволяет загружать на монитор произвольные файлы без авторизации.
Читать дальше →
Источник: Хабрахабр
