Κρίσιμα ελαττώματα ασφαλείας στα συστήματα της GE HealthCare
Οι ερευνητές ασφαλείας εντόπισαν πολλαπλά ελαττώματα ασφαλείας (ευπάθειες) στη σειρά προϊόντων Vivid Ultrasound της GE HealthCare, συμπεριλαμβανομένου του συστήματος Vivid T9 και του λογισμικού EchoPAC, που θα μπορούσαν να οδηγήσουν σε παραβίαση δεδομένων και επιθέσεις ransomware.
Αυτά τα ελαττώματα, με το πιο σοβαρό το CVE-2024-27107, επιτρέπουν μη εξουσιοδοτημένη πρόσβαση και εκτέλεση αυθαίρετου κώδικα. Η Nozomi Networks περιέγραψε μια αλυσίδα εκμετάλλευσης που χρησιμοποιεί αυτά τα τρωτά σημεία, τα οποία θα μπορούσαν να επιταχυνθούν με την εκμετάλλευση της εκτεθειμένης θύρας USB.
Η GE HealthCare δήλωσε ότι τα υπάρχοντα μέτρα μειώνουν τους κινδύνους, αλλά συνέστησε μέτρα φυσικής ασφάλειας. Σε ένα ξεχωριστό περιστατικό, αποκαλύφθηκαν ευπάθειες στο Merge DICOM Toolkit για Windows και στο Siemens SIMATIC Energy Manager.
Τα ζητήματα του DICOM Toolkit έχουν αντιμετωπιστεί σε νέα έκδοση, ενώ η ευπάθεια της Siemens θα μπορούσε να επιτρέψει την απομακρυσμένη εκτέλεση κώδικα με δικαιώματα συστήματος. Η Claroty συνέστησε την ενημέρωση του EnMPro στην έκδοση V7.3 Ενημέρωση 1 ή νεότερη.
Επιπλέον, ανακαλύφθηκαν ελαττώματα ασφαλείας στην πλατφόρμα ThroughTek Kalay, η οποία διορθώθηκε τον Απρίλιο του 2024, που επηρεάζουν συσκευές IoT όπως οθόνες μωρών και κάμερες ασφαλείας, επιτρέποντας ενδεχομένως μη εξουσιοδοτημένη πρόσβαση και απομακρυσμένη εκτέλεση κώδικα.
Το Bitdefender τόνισε τον πραγματικό αντίκτυπο στο απόρρητο και την ασφάλεια των χρηστών. Αυτά τα περιστατικά υπογραμμίζουν τη σημασία των έγκαιρων και τακτικών ενημερώσεων και των ισχυρών μέτρων ασφαλείας για τον μετριασμό των κινδύνων σε ιατρικά περιβάλλοντα και περιβάλλοντα IoT.
