headless 曰く、

GE HealthcareのX線イメージングデバイスなど100機種以上に影響する脆弱性が2件公表された(CyberMDXのニュースリリース、 CISAのアドバイザリー、 Ars Technicaの記事、 GE Healthcareのセキュリティポータル)。

影響を受けるのはMRI装置やCT装置、PET/CT装置、マンモグラフィー装置、汎用X線装置、汎用超音波診断装置など。影響を受ける装置にはPCが組み込まれており、UnixベースのOS上で管理用ソフトウェアが実行される。管理用ソフトウェアはGEのサーバーに接続してソフトウェア更新などを実行するが、認証時の通信が保護されていないため、ネットワーク経路上で認証情報が読み取られる可能性がある(CVE-2020-25175)。

また、認証情報はデフォルト値が公開されており、変更はGEのサポートチームのみが可能だという。そのため、顧客からの依頼によって認証情報を変更していなければ、デフォルトのままとなる。これにより、攻撃者は読み取った認証情報やデフォルトの認証情報を利用して患者の状態などに関するデータへのアクセス・変更が可能となる(CVE-2020-25179)。

GEによれば、パスワードをデフォルトから変更しておらず、かつローカルネットワークが信頼できない場合のCVSS 3.1スコアは9.8だが、GEが推奨する緩和策をとれば7.5まで低下するという。GEではローカルネットワークのセグメンテーションや明示的なポートアクセスルールの作成、IPSec VPNの使用などを推奨しており、デフォルトパスワードの変更やネットワーク構成に関する情報、機種別の情報などを得るためGEの担当者へ連絡するよう求めている。なお、現時点でこれらの脆弱性を狙った攻撃は報告されていないとのことだ。