CyberMDX חשפה פרצות אבטחה חמורות בציוד רפואי של GE

חברת הסייבר הישראלית CyberMDX, המתמחה בהגנת סייבר בתחום המכשור הרפואי, חשפה 6 פרצות אבטחה – מתוכן 5 סווגו בדרגת החומרה הגבוהה ביותר – במספר מערכות רפואיות מתוצרת ג'נרל אלקטריק (GE). המערכות האלה מותקנות באלפי בתי חולים בעולם. הפרצות מאפשרות לתוקף לשנות מרחוק את תוכנת המכשיר ולפגוע בתפקודו התקין, לגרום לחשיפה של מידע חסוי על מטופלים ואפילו להשבית את המכשיר כליל. בעקבות הגילוי, פירסמה רשות הסייבר במשרד לביטחון המולדת בארצות הברית (CISA) אזהרה פומבית.

חברת GE סירבה להגיב לפרסומים, אך נמסר שהיא פועלת ביחד עם רשות הסייבר ועם חברת CyberMDX כדי לסתום את הפרצות. הפרצות התגלו בחלק מדגמי המוניטור CareScape המציג את הסימנים החיוניים של החולה, במערכת הטלמטריה Apex Pro המתממשקת בין מערכות מידע רפואיות, ובמערכת ניהול החולים Clinical Service Center. מדובר בקווי מוצר פופולאריים מאוד של GE, ולפי ההערכה הפרצות שנתגלו חושפות מאות אלפי מכשירים בפני תקיפה עוינת.

ההאקרים של CyberMDX בדקו את המערכות וגילו שהפרצות נובעות מליקויים בממשקי הניהול האינטרנטיים (webmin) ובהגדרות של היציאות (ports) בתחנות העבודה. כך למשל, אחת הפרצות נובעת ממקשים גלויים המאפשרים לחדור את פרוטוקול האבטחה SSH המיועד למנהלי מערכת. פירצה אחרת נובעת מבעיית הרשאות במערכת ההפעלה XPe המאפשרת לזייף את פרוטוקול SMB המספק למחשבים מרוחקים גישה אל קבצים משותפים ברשת.

הממצא המדאיג העולה מהדו"ח של CyberMDX הוא שכל אחת הפרצות הללו מאפשרת השתלטות על מכשיר הקצה. "ניצול הפרצות האלה עשוי להשפיע ישירות על השלימות, הנגישות וחיסיון המידע של המכשירים", היא כתבה בדו"ח שהכינה. כך למשל, באמצעות השתלטות מרחוק על מכשירים, יכול ההאקר לשבש את ההגדרות של התראות חירום המזעיקות את הצוות הרפואי למיטת המטופל. מנהל המחקר ב-CyberMDX, אלעד לוז, אמר שמטרת החברה היא להביא ליידע את יצרני המערכות הרפואיות על ליקויי אבטחה העשויים לסכן מטופלים. "הדחיפות שבה GE נדרשה לעניין מעודדת. עם זאת, עדיין נותרה עבודה רבה, ואנחנו ממתינים שהיא תוציא עדכוני אבטחה למכשירים".