Aux États-Unis, CISA a mis en évidence un nouvel ensemble de vulnérabilités affectant les dispositifs médicaux.Ces failles de sécurité sont vraiment préoccupantes en raison de leur gravité et des ravages potentiels qui pourraient être causés – bien qu'il n'y ait pas encore d'exploits connus.
CISA est la Cybersecurity and Infrastructure Security Agency (du Department of Homeland Security), et elle a officiellement émis une alerte concernant les vulnérabilités qui sont collectivement appelées «MDhex».
Les vulnérabilités signifient que les données des patients pourraient être potentiellement à risque, et plus encore, comme le souligne CyberMDX, la firme de sécurité qui a découvert les failles: «La plupart des équipements affectés peuvent définir les limites d'alarme du moniteur patient, admettre ou décharger des patients, [and] régler la date et l'heure. "
La CISA a noté séparément qu'un exploit pourrait potentiellement entraîner la désactivation des alarmes du moniteur, exposant potentiellement le patient à un grave danger ou une perte complète de la fonction de surveillance.
Sommaire
Facilement exploitable
Bien que les failles de sécurité n'aient pas encore été exploitées publiquement, comme nous l'avons mentionné au début, ce qui est inquiétant, c'est que la CISA constate qu'elles n'ont besoin que d'un niveau de compétence (relativement) faible pour être exploitées et que les vulnérabilités sont exploitables à distance.
GE Healthcare a cependant noté que le niveau de vulnérabilité et le risque d'exploitation sont plus élevés si le réseau sur lequel se trouvent les appareils est mal configuré.
GE Healthcare a déjà publié une déclaration pour dire: «Nous demandons aux installations où ces appareils sont situés de suivre les meilleures pratiques de gestion de réseau et développons un correctif logiciel avec des améliorations de sécurité supplémentaires.
«Nous n'avons pas connaissance d'incidents où ces vulnérabilités ont été exploitées dans une situation clinique.»
J'espère donc que ce patch ne sera pas trop long dans les travaux. Vous trouverez ici d'autres conseils de GE Healthcare concernant l'application des meilleures pratiques de gestion de réseau.
Outre les moniteurs patient, les autres systèmes GE Healthcare concernés comprennent le centre d’information clinique de la société, la station centrale Carescape, ainsi que le matériel Carescape et ApexPro Telemetry Server.
Ce n'est pas la première fois que nous entendons parler d'un ensemble de vulnérabilités collectives qui ont frappé les équipements médicaux ces derniers temps. Retournez à octobre 2019 et vous vous souviendrez peut-être de la multitude de bogues de protocole réseau baptisés Urgent / 11, qui affectaient divers appareils de santé et bien plus encore (par exemple, les caméras de sécurité et les routeurs).
Le piratage d'un ordinateur est une mauvaise nouvelle, mais le compromis d'appareils comme un moniteur patient ou une pompe à perfusion est évidemment une perspective beaucoup plus inquiétante.
L'année dernière, les appareils d'anesthésie de GE Healthcare se sont également révélés avoir une vulnérabilité exploitable à distance, une découverte encore faite par CyberMDX.