根据安全公司CyberMDX的最新发现,通用电气制造的数十种医学成像设备均采用硬编码的默认密码进行保护,这些密码很难轻易更改,但可被利用来访问敏感的患者扫描内容。
研究人员说,攻击者只需要位于同一网络上即可利用易受攻击的设备,例如通过诱使员工打开包含恶意软件的电子邮件。从那里,攻击者可以使用那些未更改的硬编码密码来获取设备上留下的任何患者数据,或者破坏设备的正常运行。
CyberMDX说,受影响的设备包括X光机,CT和MRI扫描仪以及超声和乳腺摄影设备。
GE使用硬编码的密码来远程维护设备。但是CyberMDX的研究负责人埃拉德·卢兹(Elad Luz)表示,一些客户并不知道他们的设备存在易受攻击的设备。Luz将密码描述为“硬编码”,因为尽管可以更改密码,但客户必须依靠GE工程师在现场更改密码。
该漏洞还引发了国土安全部网络安全咨询部门CISA的警报。受影响设备的客户应联系GE更改密码。
GE Healthcare的发言人汉娜·亨特利(Hannah Huntly)在一份声明中说:“我们不知道任何在临床情况下利用此潜在漏洞的事件。我们已经进行了全面的风险评估,并得出结论,无需担心患者的安全性。维护我们设备的安全性,质量和安全性是我们的首要任务。”
这是总部位于纽约的医疗网络安全创业公司的最新发现。去年,这家初创公司还报告了其他GE设备的漏洞,该公司后来承认,在最初清除该设备以供使用后,可能导致患者受伤。
CyberMDX主要用于保护医疗设备并通过其网络智能平台改善医院网络的安全性,同时进行侧面的安全性研究,今年初筹集了2000万美元,仅在COVID-19大流行的一个月之内。
