GE HealthcareのX線イメージングデバイスなど100機種以上に影響する脆弱性が2件公表された(CyberMDXのニュースリリース、 CISAのアドバイザリー、 Ars Technicaの記事、 GE Healthcareのセキュリティポータル)。

影響を受けるのはMRI装置やCT装置、PET/CT装置、マンモグラフィー装置、汎用X線装置、汎用超音波診断装置など。影響を受ける装置にはPCが組み込まれており、UnixベースのOS上で管理用ソフトウェアが実行される。管理用ソフトウェアはGEのサーバーに接続してソフトウェア更新などを実行するが、認証時の通信が保護されていないため、ネットワーク経路上で認証情報が読み取られる可能性がある(CVE-2020-25175)。

また、認証情報はデフォルト値が公開されており、変更はGEのサポートチームのみが可能だという。そのため、顧客からの依頼によって認証情報を変更していなければ、デフォルトのままとなる。これにより、攻撃者は読み取った認証情報やデフォルトの認証情報を利用して患者の状態などに関するデータへのアクセス・変更が可能となる(CVE-2020-25179)。

GEによれば、パスワードをデフォルトから変更しておらず、かつローカルネットワークが信頼できない場合のCVSS 3.1スコアは9.8だが、GEが推奨する緩和策をとれば7.5まで低下するという。GEではローカルネットワークのセグメンテーションや明示的なポートアクセスルールの作成、IPSec VPNの使用などを推奨しており、デフォルトパスワードの変更やネットワーク構成に関する情報、機種別の情報などを得るためGEの担当者へ連絡するよう求めている。なお、現時点でこれらの脆弱性を狙った攻撃は報告されていないとのことだ。

すべて読む | セキュリティセクション | テクノロジー | セキュリティ | ネットワーク | 医療 | 暗号 |

関連ストーリー：
WavlinkとJetstreamという二つの中国製ブランドのルーターに不審なバックドアが存在。悪用も確認済み 2020年11月26日
GoogleのProject Zero、GitHub Actionsの脆弱性を公表 2020年11月05日
GoogleのProject Zero、Windowsカーネルのゼロデイ脆弱性を公表 2020年11月01日
WindowsのデスクトップテーマファイルでWindowsの認証情報を盗み取れる可能性 2020年09月09日
Windows Serverに17年前から存在していたバグが修正される 2020年07月18日
NETGEAR製品に幅広く影響するゼロデイ脆弱性が見つかる。ZDIが一斉公開 2020年07月03日
5G携帯電話による植込み型心臓ペースメーカー・除細動器への影響はないとの調査結果 2020年03月07日
心臓ペースメーカー1100台余りに停止のおそれ、プログラムを無線通信で修正することを検討 2019年01月23日