Last Updated on 2024-07-08 08:04 by admin
研究者たちはGEヘルスケアのVivid超音波製品群と関連ソフトウェア2つに11のセキュリティ脆弱性を発見した。これらの問題には、機密データの暗号化の欠如、ハードコードされた資格情報の使用などが含まれ、重大度はCVSS 3.1スコアリングシステムで5.7から9.6の範囲である。Nozomi Networksの報告によると、これらのバグは完全な権限を持つリモートコード実行(RCE)を可能にし、そのような権限がもたらす様々な攻撃シナリオを引き起こす可能性がある。しかし、最も深刻なシナリオを実行するには、対象のデバイスへの物理的アクセスが必要であり、医療施設にとってのリスクは大幅に低減される。
Vivid T9超音波システム、Common Service Desktop Webアプリケーション、EchoPAC臨床ソフトウェアパッケージが研究の対象となった。Vivid T9はWindows 10をカスタマイズしたPCとして機能し、GUIはユーザーが基本的なOS機能にアクセスすることを制限するが、CVE-2020-6977とCVE-2024-1628の脆弱性を利用して、GUIを迂回し、ランサムウェアを展開することが可能だった。EchoPACでは、”Share”機能が有効になっている場合、ハードコードされた資格情報(CVE-2024-27107、重大度9.6 CVSS)を悪用してライブデータベースサーバーインスタンスにアクセスし、患者データを読み取り、編集、盗むことができる。
しかし、T9とCommon Service Desktopを悪用するには、悪意のある内部者がデバイスの組み込みキーボードとトラックパッドに物理的にアクセスする必要があり、EchoPACはローカルエリアネットワーク内での足場があれば、他の資格情報なしで侵入可能である。Nozomiは、超音波デバイスを無人で放置しないよう医療専門家に勧めている。全11の脆弱性に対するパッチと緩和策は、GEヘルスケアの製品セキュリティポータルで利用可能である。
【ニュース解説】
GEヘルスケアのVivid超音波製品群と関連ソフトウェアに、セキュリティ研究者たちが11の脆弱性を発見しました。これらの脆弱性は、機密データの暗号化がなされていない、ハードコードされた資格情報の使用など、さまざまな問題を含んでおり、重大度は5.7から9.6までの範囲にわたります。これらの問題を悪用することで、リモートコード実行(RCE)が可能になり、完全な権限を持って様々な攻撃シナリオを実行できる可能性があります。
しかし、これらの脆弱性を悪用して最も深刻なダメージを与えるには、対象のデバイスへの物理的アクセスが必要であるため、医療施設におけるリスクは相対的に低いとされています。特に、Vivid T9超音波システムやCommon Service Desktop Webアプリケーションを悪用する場合、悪意のある内部者がデバイスのキーボードやトラックパッドに直接アクセスする必要があります。一方で、EchoPACソフトウェアは、ローカルエリアネットワーク内であれば、特別な資格情報なしに侵入可能です。
この問題のポジティブな側面としては、GEヘルスケアがこれらの脆弱性に対するパッチと緩和策を提供している点が挙げられます。これにより、医療施設は適切な対策を講じることで、患者データの保護とシステムの安全性を高めることができます。
しかしながら、この発見は医療機器のセキュリティに関する重要な問題を浮き彫りにしています。特に、ハードコードされた資格情報や暗号化されていない機密データなど、基本的なセキュリティ対策が欠けていることが問題です。これらの脆弱性は、悪意のある攻撃者によるランサムウェアの展開や患者データの盗難など、深刻なセキュリティインシデントを引き起こす可能性があります。
このような問題は、医療機器メーカーに対して、製品の設計段階からセキュリティを考慮することの重要性を強調しています。また、医療施設においても、機器のセキュリティ状態を定期的に確認し、最新のパッチを適用することが不可欠です。さらに、医療機器のセキュリティに関する規制や基準の強化も、今後の課題として考えられます。
長期的には、このようなセキュリティ脆弱性の発見と対策が、より安全な医療機器の開発につながることが期待されます。医療機器のセキュリティを強化することで、患者データの保護と医療サービスの信頼性の向上に貢献することができるでしょう。
from GE Ultrasound Gear Riddled With Bugs, Open to Ransomware & Data Theft.
