Se ha revelado casi una docena de vulnerabilidades que afectan a la gama de productos de ultrasonido Vivid de GE HealthCare. Las fallas podrían ser explotadas por ciberdelincuentes para manipular datos de pacientes e incluso instalar ransomware en ciertas circunstancias.
El proveedor de seguridad Nozomi Networks destacó que estas vulnerabilidades permiten desde la implantación de ransomware en la máquina de ultrasonido hasta el acceso y manipulación de datos de pacientes almacenados en los dispositivos vulnerables.
Los problemas de seguridad afectan tanto al sistema de ultrasonido Vivid T9 como a la aplicación web Common Service Desktop preinstalada. Además, umbien afectan a otro programa llamado EchoPAC, instalado para ayudar a los médicos a acceder a imágenes de ecografía eco vascular y abdominal multidimensionales.
Para explotar estas fallas, un actor malicioso primero debe obtener acceso al entorno hospitalario e interactuar físicamente con el dispositivo. Luego, podrían llevar a cabo una ejecución de código arbitrario con privilegios administrativos.
La vulnerabilidad más grave, CVE-2024-27107, está relacionada con el uso de credenciales codificadas. Otras vulnerabilidades identificadas incluyen inyección de comandos, ejecución con privilegios innecesarios, travesía de ruta y fallo del mecanismo de protección.
Nozomi Networks ha ideado una cadena de explotación aprovechando CVE-2020-6977 para obtener acceso local al dispositivo y luego utiliza CVE-2024-1628 para lograr la ejecución de código.
GE HealthCare ha mencionado que las mitigaciones y controles existentes reducen los riesgos planteados por estas fallas a niveles aceptables.
Este descubrimiento se suma a la reciente divulgación de vulnerabilidades en el Kit de herramientas DICOM de Merge para Windows y una falla de seguridad de gravedad máxima en el producto Siemens SIMATIC Energy Manager (EnMPro). También se han descubierto debilidades de seguridad en la plataforma ThroughTek Kalay integrada en dispositivos de Internet de las cosas (IoT). Todas estas vulnerabilidades representan riesgos significativos para la seguridad y privacidad de los usuarios.
Vía The Hacker News
