Security Week 05: критические уязвимости медицинских устройств
23 января подразделение американского департамента внутренней безопасности, ответственное за киберугрозы, опубликовало информацию о шести серьезных уязвимостях в медицинских устройствах (новость, исходный документ). Проблемы были обнаружены в больничном оборудовании компании GE, включая медицинские мониторы Carescape B450, 650 и 850. По шкале CVSSv3 пять уязвимостей получили 10 баллов — высшую оценку, обозначающую возможность удаленной эксплуатации без специальных навыков. Раскрытие данных о проблемах в специализированной технике происходит нечасто и позволяет оценить уровень защищенности таких устройств.
На фото выше — одно из устройств, упомянутых в сообщении, монитор Carescape B650. Спецификации на сайте отсутствуют, и даже в даташите не указана аппаратная платформа и используемая операционная система. Но дата в документе (2010 год) указывает на очевидную проблему такого оборудования: стоит дорого, используется долго. По сути это независимый компьютер с 15-дюймовым дисплеем, способный работать автономно и подключающийся к проводной или беспроводной сети для передачи данных.
Для этого устройства актуальны две уязвимости: CVE-2020-6962 описывает проблему с валидацией введенных данных в веб-интерфейсе, которая может привести к запуску произвольного кода. CVE-2020-6965, судя по всему, намекает на незащищенную систему обновления ПО, которая позволяет загружать на монитор произвольные файлы без авторизации.
Читать дальше →
На фото выше — одно из устройств, упомянутых в сообщении, монитор Carescape B650. Спецификации на сайте отсутствуют, и даже в даташите не указана аппаратная платформа и используемая операционная система. Но дата в документе (2010 год) указывает на очевидную проблему такого оборудования: стоит дорого, используется долго. По сути это независимый компьютер с 15-дюймовым дисплеем, способный работать автономно и подключающийся к проводной или беспроводной сети для передачи данных.
Для этого устройства актуальны две уязвимости: CVE-2020-6962 описывает проблему с валидацией введенных данных в веб-интерфейсе, которая может привести к запуску произвольного кода. CVE-2020-6965, судя по всему, намекает на незащищенную систему обновления ПО, которая позволяет загружать на монитор произвольные файлы без авторизации.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Сбор ПДн через Яндекс.Формы: как соблюсти 152-ФЗ
- Обход Cloudflare. Часть I
- DHCP: настройка серверов, Relay и анализ трафика в Wireshark
- Безопасная аутентификация с Indeed AM
- bit kogan: Одна из наиболее обсуждаемых тем сегодня — по какому пути пойдет дальнейшее развитие интернета в России
- Как работает машина Enigma M3 (для флота)
- Из туризма в стеганографию: история создания ChameleonLab и наш новый взгляд на контент
- Невидимые чернила в цифровом мире: технология сокрытия данных в DOCX/XLSX
- Homo CyberSecuritis. Человек эпохи кибербезопасности
- Jailbreak ChatGPT-5, системный промпт, и скрытый контекст