Security Week 05: критические уязвимости медицинских устройств
23 января подразделение американского департамента внутренней безопасности, ответственное за киберугрозы, опубликовало информацию о шести серьезных уязвимостях в медицинских устройствах (новость, исходный документ). Проблемы были обнаружены в больничном оборудовании компании GE, включая медицинские мониторы Carescape B450, 650 и 850. По шкале CVSSv3 пять уязвимостей получили 10 баллов — высшую оценку, обозначающую возможность удаленной эксплуатации без специальных навыков. Раскрытие данных о проблемах в специализированной технике происходит нечасто и позволяет оценить уровень защищенности таких устройств.
На фото выше — одно из устройств, упомянутых в сообщении, монитор Carescape B650. Спецификации на сайте отсутствуют, и даже в даташите не указана аппаратная платформа и используемая операционная система. Но дата в документе (2010 год) указывает на очевидную проблему такого оборудования: стоит дорого, используется долго. По сути это независимый компьютер с 15-дюймовым дисплеем, способный работать автономно и подключающийся к проводной или беспроводной сети для передачи данных.
Для этого устройства актуальны две уязвимости: CVE-2020-6962 описывает проблему с валидацией введенных данных в веб-интерфейсе, которая может привести к запуску произвольного кода. CVE-2020-6965, судя по всему, намекает на незащищенную систему обновления ПО, которая позволяет загружать на монитор произвольные файлы без авторизации.
Читать дальше →
На фото выше — одно из устройств, упомянутых в сообщении, монитор Carescape B650. Спецификации на сайте отсутствуют, и даже в даташите не указана аппаратная платформа и используемая операционная система. Но дата в документе (2010 год) указывает на очевидную проблему такого оборудования: стоит дорого, используется долго. По сути это независимый компьютер с 15-дюймовым дисплеем, способный работать автономно и подключающийся к проводной или беспроводной сети для передачи данных.
Для этого устройства актуальны две уязвимости: CVE-2020-6962 описывает проблему с валидацией введенных данных в веб-интерфейсе, которая может привести к запуску произвольного кода. CVE-2020-6965, судя по всему, намекает на незащищенную систему обновления ПО, которая позволяет загружать на монитор произвольные файлы без авторизации.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Придумали игру для сотрудников и взорвали корпоративную культуру. Геймификация в Пятёрочке
- Прячем shellcode в приложениях
- Как увеличить продажи на маркетплейсах в категории DIY сразу после старта
- Почти треть тендеров на рекламном рынке в 2024 году оказалась неэтичной
- Выкрутили автоматизацию на максимум: с чем кроме инвентаризации помог переход на NetBox
- Aisha: Как использование ИИ в переписках с клиентами позволило на 32% увеличить кол-во лидов на покупку квартир в новостройке
- Spark_news: Т-Технологии стали основным владельцем «Точки», выкупив 64- процентную долю
- Spark_news: Ozon fresh и «Ашан» запустили совместный бренд готовой еды
- Нужна новая стратегия: как сегодняшние киберугрозы меняют подходы к управлению доступом
- Steppo: Как Steppo меняет подход к он-бордингу пользователей и сотрудников