研究人员踢爆GE Medical医疗装置含有重大安全漏洞，将允许骇客关闭监护装置

专门提供医疗照护网络安全解决方案的CyberMDX，在本周公布了GE Medical的医疗装置内含6大安全漏洞，成功的开采将允许骇客关闭监护装置、变更警报设定，或是自远端控制相关装置。在6个漏洞中，有5个被列为CVSS v3.1最高风险等级的10，另外一个的风险等级亦高达8.2，CyberMDX则将这6个漏洞统称为MDhex，目前GE Medical正着手修补MDhex，迄今尚未接获相关的攻击报告。

GE Medical为奇异（GE）集团的子公司，主要提供医疗技术与服务，包括医学成像、资讯技术、医疗诊断，病患监护系统及药物研发等，全球员工超过4.6万名，受到MDhex漏洞波及的装置，则涵盖了ApexPro遥测服务器（ApexPro Telemetry Server ）、CARESCAPE遥测服务器（CARESCAPE Telemetry Server）、CARESCAPE中央工作站（CARESCAPE Central Station）与中央资讯中心（Central Information Center）等。

至于CyberMDX所揭露的6个安全漏洞都已取得漏洞编号，其中的CVE-2020-6961将允许骇客取得置放在配置档案中的SSH金钥。CVE-2020-6962漏洞则存在于相关产品的Web系统上，成功的开采，将允许远端骇客执行任意程式。CVE-2020-6963是因为CARESCAPE与GE Health家族的产品，都使用固定（hard-coded ）的凭证，骇客只要建立一个远端的SMB连结就能取得凭证，同样属于远端程式攻击漏洞，还可能波及同一网络的其它装置。CVE-2020-6964存在于切换键盘的整合服务中，由于它完全不需要认证就能执行，因而允许自远端键盘输入。CVE-2020-6966藏匿在远端桌面存取软件VNC中，但它以不安全的方式存放其存取凭证，让骇客可轻易取得，并自远端控制装置。

上述5个都属于CVSS v3.1的最高风险等级，另一个CVE-2020-6965的风险等级虽然只有8.5，但此一位于软件更新机制中的漏洞，因未设定上传限制，亦允许通过身份认证的骇客上传任意档案。

CyberMDX是在去年的9月18日，向GE Medical通报相关漏洞，已过了90天的缓冲期，看似GE Medical来不及修补，而在本周一同揭露。

上述漏洞将允许骇客关闭装置功能，或是变更装置的警报设定，也能自远端存取相关装置的使用者界面，任意变更装置设定，可能让护理人员错过病患监护装置的重要警报，危及病患的生命安全。此外，有些成功的攻击，还能让骇客取得病患的监控数据。

美国国土安全部旗下的网络安全及基础架构安全署（CISA），亦已针对MDhex提出警告，表示当骇客透过不当的配置或借由实体存取装置，取得重大任务（Mission Critical，MC）或资讯交换（information exchange，IE）网络的凭证时，等于是赋予骇客操纵这些装置的权限。

GE Medical表示，该公司正着手修补相关漏洞，迄今尚未发现锁定相关漏洞的攻击程式，用户可继续使用相关装置，但最好确认MC与IX网络是独立的，以提高骇客的攻击门槛，也应采用各装置的最佳配置准则。