Специалисты фирмы CyberMDX обнаружили, что более 100 моделей медицинских устройств производства General Electric Healthcare поставляются со скрытыми аккаунтами, которые имеют одинаковые учетные данные по умолчанию и могут быть использованы посторонними. Среди затронутых проблемой устройств: компьютерные томографы, рентгеновские аппараты, специализированные МРТ-системы.
«Невидимые» пользователям учетные записи включены в прошивки устройств и используются серверами GE Healthcare для подключения к локальным девайсам и их обслуживания, запуска проверок работоспособности систем, получения логов, загрузки обновлений и так далее. Так по данным CyberMDX, скрытые учетные записи предоставляют доступ к следующим сервисам и функциям:
- FTP (порт 21): используется для получения исполняемых файлов с сервера обслуживания;
- SSH (порт 22);
- Telnet (порт 23): используется сервером обслуживания для выполнения шелл-команд;
- REXEC (порт 512): используется сервером обслуживания для выполнения шелл-команд.
Список уязвимых устройств можно увидеть здесь.
Проблема в том, что все эти аккаунты используют одни и те же учетные данные по умолчанию, которые можно без труда найти в интернете и злоупотреблять ими, получив доступ к системам и собрав личные данные пациентов. Специалисты говорят, что им пока неизвестно о каких-либо злоупотреблениях этой проблемой, однако это еще не означает, что таковых не было.
В настоящее время инженеры GE Healthcare стараются помочь больницам и другим поставщикам медицинских услуг перенастроить все проблемные устройства, на которых присутствуют такие учетные записи. Компания советует клиентам связаться со своей службой поддержки, чтобы изменить пароли от этих жестко закодированных аккаунтов (сделать это, к сожалению, могут только сотрудники GE Healthcare).
Единственной хорошей новостью в данных обстоятельствах является то, что, по данным CyberMDX, для использования таких учетных записей и получения доступа к устройству злоумышленник должен иметь доступ к внутренней сети больницы. Эксперты подчеркнули, что не обнаружили случаев, когда проблемные устройства были бы доступны через интернет.