Para obter informações sobre como relatar vulnerabilidades descobertas em produtos da GE Healthcare, clique aqui para visualizar a Declaração de divulgação coordenada de vulnerabilidades da GE Healthcare.


quarta-feira, 21 de agosto de 2019

Vulnerabilidades da pilha TCP/IP (IPnet) do VxWorks

A Wind River e pesquisadores de segurança trabalharam em conjunto em várias divulgações de segurança relacionadas a vulnerabilidades críticas, altas e médias na pilha TCP/IP usada pelo VxWorks (IPnet). O VxWorks, incluindo as versões 6.5 e posteriores, é afetado por uma ou mais das 11 CVEs.

A GE Healthcare está avaliando ativamente os produtos que utilizam as versões do VxWorks RTOS afetadas pelas 3 vulnerabilidades críticas e 8 não críticas, CVE-2019-12255 a CVE-2019-12265.

As avaliações iniciais do produto foram realizadas. Atualmente, todos os produtos potencialmente afetados estão passando por avaliações detalhadas por equipes internas da GE Healthcare para determinar o risco e ações de correção; nos próximos dias, os resultados dessas avaliações, incluindo patches validados e instruções de instalação de patches serão atualizados assim que estiverem disponíveis.

Esta declaração será atualizada à medida que mais informações forem disponibilizadas, e notificaremos os clientes por meio do Portal de segurança do produto da GE Healthcare (https://securityupdate.gehealthcare.com/) se houver a suspeita ou certeza de que algum produto está em risco.


14 de agosto de 2019

MS CVE-2019-1181 e MS CVE-2019-1182 — Vulnerabilidades na execução de código remoto dos serviços de área de trabalho remota

A GE Healthcare está ciente dos relatórios da Microsoft sobre usuários de várias versões do Windows, a fim de aplicar atualizações críticas do Windows.  A Microsoft corrigiu uma vulnerabilidade crítica de execução de código remoto nos Serviços de área de trabalho remota presente nos seguintes sistemas: versões do Windows 7 SP1, Windows 8.1, Windows 10 e Windows Server, como Windows Server 2008 R2 e Windows Server 2012. Estamos realizando avaliações em nossos produtos para determinar qualquer possível impacto. Esta declaração será atualizada à medida que mais informações forem disponibilizadas, e notificaremos os clientes por meio de nosso Portal de segurança do produto (https://securityupdate.gehealthcare.com/) se houver a suspeita ou certeza de que algum produto está em risco.


16 de julho de 2019

Aviso do ICS sobre dispositivos de anestesia da GE

Atualização: após uma investigação mais aprofundada e resultante de extrema cautela, a GE Healthcare está atualizando a declaração publicada anteriormente e notificando diretamente os usuários. Leia as informações abaixo na íntegra.

Resumo

A GE Healthcare está ciente de uma divulgação do ICS-CERT/CISA que descreve como a conexão de uma porta serial de dispositivo, por meio de um servidor de terminal complementar e de baixa segurança de terceiros, a uma rede hospitalar pode levar ao acesso não autorizado a determinados dispositivos de anestesia da GE Healthcare. Essa vulnerabilidade não está no próprio dispositivo de anestesia, mas pode surgir se os usuários tiverem conectado o dispositivo a servidores de terminal de rede de terceiros de baixa segurança.

A vulnerabilidade pode afetar os dispositivos de anestesia da GE Healthcare das seguintes maneiras:

  1. Sensor de fluxo

    Embora seja extremamente improvável, um servidor de terminal de baixa segurança pode apresentar uma oportunidade de um agente mal-intencionado já infiltrado na rede do hospital enviar parâmetros de correção fraudulenta do sensor de fluxo para determinados produtos (consulte a tabela). Um servidor de terminal é um acessório que pode ser obtido de um fornecedor terceirizado (que não seja da GE Healthcare) fora da configuração padrão do produto. Caso sejam enviados parâmetros de correção fraudulenta do sensor de fluxo, a calibração do sensor de fluxo poderá ser afetada e causar uma aplicação excessiva do volume de corrente a um paciente se a ventilação de controle de volume estiver sendo usada. Teoricamente, a aplicação excessiva do volume de corrente pode, em casos raros, levar a um risco maior de lesões pulmonares. Além disso, a aplicação insuficiente pode ocorrer teoricamente e gerar uma aplicação insuficiente do volume total de gás. Se isso ocorrer sem intervenção clínica normal, teoricamente, poderá haver o comprometimento da oxigenação ou ventilação do paciente.

    Observação: as máquinas de anestesia envolvidas têm controles de gás analógicos e um vaporizador mecânico, portanto, o ajuste remoto da mistura de gás ou dos níveis de medicamento não é possível.

  2. Alarme

    Os alarmes podem ser silenciados por um agente mal-intencionado, porém somente após o alarme sonoro inicial soar. Os alarmes visuais continuam sendo exibidos e disponíveis para o médico responsável. Além disso, todos os novos alarmes disparam por meio do comando de alarme silencioso e fornecem alerta de áudio para o usuário. Os dispositivos de anestesia são qualificados como um "dispositivo observado", em que um médico altamente qualificado monitora continuamente o dispositivo, e não há previsões razoáveis de que esse cenário cause danos ao paciente.

  3. Relógio

    A data e hora do dispositivo podem ser modificados por um agente mal-intencionado em determinados produtos (consulte a tabela). No entanto, essa modificação não pode ocorrer após o início do procedimento do paciente e não afeta o uso pretendido do dispositivo. A hora é exibida na tela o tempo todo. Não há previsões razoáveis de que esse cenário cause danos ao paciente.

  4. Peso e idade do paciente

    Um agente mal-intencionado pode modificar o peso e a idade do paciente em determinados produtos (consulte a tabela). No entanto, esses parâmetros devem ser confirmados e aceitos antes do uso do dispositivo pelo médico, não afetam automaticamente o desempenho do dispositivo e não podem ser modificados enquanto o dispositivo estiver em uso. Não há previsões razoáveis de que esse cenário cause danos ao paciente.

    Não houve nenhuma incidência de ataques cibernéticos ou lesões relatadas à GE Healthcare por causa desses problemas.

Dispositivos envolvidos

Dispositivo

1. Cenário do sensor de fluxo

2. Cenário de silenciamento de alarme

3. Cenário do relógio

4. Cenário de peso e idade

Aespire 7100 / 100 / Protiva / Carestation

Sima, versão do software 1.x

Sim

Não

Não

Aestiva 7100

Simb, versão do software 1.x

Sim

Não

Não

Aestiva 7900

Simc, versões do software 1.x, 2.x e 3.x

Sim

Não

Não

Aestiva MRI

Simc, versão do software 3.x

Sim

Não

Não

Aespire 7900

Não

Sim

Não

Não

Aespire View

Não

Sim

Não

Não

Aisys, Aisys CS2, Avance, Amingo, Avance CS2

Não

Sim

Sim

Sim

Carestation 620/650/650c

Não

Sim

Sim

Sim

a Dispositivos fabricados antes de outubro de 2010.

b Dispositivos fabricados antes de fevereiro de 2014.

c Dispositivos fabricados antes de março de 2004.

d Dispositivos fabricados antes de julho de 2014.

 

 

Recomendações de segurança

A GE Healthcare recomenda que as organizações usem servidores de terminal seguros se optarem por conectar as portas seriais do dispositivo de anestesia da GE Healthcare a redes TCP/IP. Os servidores de terminal seguros, quando configurados corretamente, fornecem recursos de segurança robustos, incluindo criptografia eficaz, VPN, autenticação de usuários, controles de rede, registro, recursos de auditoria, opções de gerenciamento e configuração de dispositivos seguros.

A GE Healthcare recomenda que as organizações utilizem as práticas recomendadas para servidores de terminal que incluem medidas de governança, gerenciamento e implantação seguras, como segmentação de rede, VLANs e isolamento de dispositivos, para aprimorar as medidas de segurança existentes.

Em caso de dúvidas, entre em contato com o seu representante local da GE.

Para obter mais informações do ICS-CERT/CIRA, consulte: https://www.us-cert.gov/ics/advisories/icsma-19-190-01

 

Publicação original: 14 de maio de 2019 — Atualização mais recente: 21 de maio de 2019

BlueKeep (MS CVE-2019-0708 — Vulnerabilidade na execução de código dos serviços de área de trabalho remota)

Atualização: As avaliações iniciais do produto foram realizadas; os clientes da GE Healthcare podem obter uma visão por produto das áreas potencialmente afetadas com base em uma avaliação de aplicabilidade preliminar. Atualmente, todos os produtos potencialmente afetados estão passando por avaliações por equipes internas da GE Healthcare para determinar ações de correção. Nos próximos dias, os resultados dessas avaliações, incluindo patches validados e instruções de instalação de patches serão atualizados no Portal de Gerenciamento de Vulnerabilidades assim que estiverem disponíveis.

Mensagem original: A GE Healthcare está ciente dos relatórios da Microsoft sobre usuários de várias versões do Windows que precisam aplicar atualizações críticas do Windows. A Microsoft corrigiu uma vulnerabilidade crítica de execução de código remoto nos Serviços de área de trabalho remota presente nos seguintes sistemas: versões do Windows XP, Windows 7 e Windows Server, como Windows Server 2003, Windows Server 2008 R2 e Windows Server 2008. A Microsoft lançou patches especificamente para o Windows XP e o Windows Server 2003, apesar de esses sistemas operacionais não terem mais suporte. Estamos realizando avaliações em nossos produtos para determinar qualquer possível impacto. Esta declaração será atualizada à medida que mais informações forem disponibilizadas, e notificaremos os clientes por meio de nosso Portal de Gerenciamento de Vulnerabilidades (https://securityupdate.gehealthcare.com/) se houver a suspeita ou certeza de que algum produto está em risco.



Vulnerabilidade de acessórios da Silex Bridge nos dispositivos de ECG da GE Healthcare

A GE Healthcare está ciente de que um pesquisador de segurança descobriu duas vulnerabilidades de segurança dentro de uma ponte sem fio da Silexusada como acessório opcional em determinados produtos de ECG da GE Healthcare. Se exploradas, essas vulnerabilidades podem permitir que um agente de ameaça interfira nas comunicações entre o produto e a rede do hospital. A GE não está ciente de qualquer exploração real dessas vulnerabilidades. Os possíveis caminhos de exploração não afetam a função clínica dos dispositivos afetados. Essas informações foram disponibilizadas ao público em 8 de maio de 2018 por meio do aviso do ICS-CERT "ICSMA-18-128-01 Silex Technology SX-500/SD-320AN ou GE Healthcare MobileLink" no link https://ics-cert.us-cert.gov/advisories/ICSMA-18-128-01.

Este acessório de ponte opcional pode ser usado no MAC 3500, MAC 5000 (cujo fim de vida útil do produto foi em 2012), MAC 5500 e MAC 5500 HD da GE Healthcare. A vulnerabilidade observada afeta este acessório e sua função como ponte para a rede do hospital. A exploração da vulnerabilidade exige proximidade com os dispositivos e não afetaria a função clínica ou a proteção de dados.

 As duas vulnerabilidades e métodos de atenuação são:

  1. CVE-2018-6020, GEH-500 versão 1.54 e anterior (integrado ao GE MobileLink).  Atenuação: ative a conta de "atualização" na interface da Web, que não é ativada por padrão. Defina a senha secundária da conta de "atualização" para evitar alterações não autenticadas na configuração da ponte. 
  1. CVE-2018-6021, GEH-SD-320AN, versão GEH-1.1 e anterior (integrado ao GE MobileLink). Atenuação: a atualização do firmware da Silex é aprovada pela GE Healthcare e os clientes podem baixar a atualização e as instruções por meio deste link: http://silextechnology.com/geh320an/

A segurança de dispositivos médicos é de prioridade máxima para a GE Healthcare, e continuaremos a trabalhar com os clientes para fornecer cuidados médicos seguros e confiáveis.



Consultoria para dispositivos médicos do NCCIC/ICS-CERT para dispositivos médicos da GE

O NCCIC/ICS-CERT (National Cybersecurity and Communications Integration Center for Industrial Control Systems) emitiu um aviso referente ao uso de credenciais padrão em determinados produtos da GE Healthcare. Este aviso do NCCIC/ICS-CERT fornece uma atualização para um boletim do US-CERT lançado em agosto de 2015, e todas as informações sobre as credenciais padrão foram disponibilizadas anteriormente no boletim de 2015 do US-CERT.

Histórico

Em 2015, um pesquisador enviou informações ao ICS-CERT sobre o uso de senhas padrão e/ou codificadas em determinados produtos da GE Healthcare. Essas senhas foram fornecidas nos Manuais do operador ou de serviço disponibilizados em uma biblioteca de recursos da GE Healthcare acessível aos clientes via cópia impressa e Internet. Essas informações foram posteriormente fornecidas pelo pesquisador ao US-CERT e publicadas no boletim SB15-222 do US-CERT, lançado em 10 de agosto de 2015. As pontuações de risco fornecidas nesse boletim não foram revisadas junto à GE Healthcare antes da publicação e não refletiram nenhuma avaliação técnica de risco do produto. Após investigação, a GE Healthcare determinou que a maioria das senhas era alterável com base na documentação existente do produto, enquanto algumas senhas não tinham processos de alteração dentro da documentação existente. A GE Healthcare reconhece que as práticas recomendadas atuais do setor incluem restrições e proteções sobre o uso de senhas e continuará a dar suporte às solicitações dos clientes para que eles recebam assistência para alterar essas senhas.

Processo de avaliação de risco da GE Healthcare

A GE Healthcare avaliou as preocupações com senhas geradas pela consultoria do NCCIC/ICS-CERT por meio de um processo de gerenciamento de risco estabelecido que aborda os riscos de segurança, bem como os riscos gerais de segurança relacionados à confidencialidade, integridade e disponibilidade dos ativos do dispositivo. A avaliação de risco da GE Healthcare concluiu que o risco de segurança nesses produtos está em um nível aceitável. Esta conclusão é respaldada pelo nosso histórico de vigilância contínuo de produtos em uso, bem como pelas avaliações de risco de segurança realizadas durante o processo de projeto do produto. Todos esses produtos foram sujeitos a vigilância contínua do dispositivo médico pós-mercado, e a GE Healthcare não tem evidência de qualquer evento adverso de segurança relacionado à confidencialidade, integridade ou disponibilidade desses dispositivos que tenha sido causado pelo uso indevido dessas senhas. O design desses produtos inclui atenuações contra possíveis riscos de segurança associados ao uso indevido das senhas. A GE Healthcare continuará a monitorar nossos produtos em busca de eventos de segurança e responderá à necessidade de nossos clientes por informações relacionadas à segurança de nossos dispositivos.


Orientação da GE Healthcare sobre ransomware Petya

A GE Healthcare está ciente dos recentes relatórios de um evento de ransomware generalizado, conhecido como "Petya", que está afetando entidades globalmente em uma série de setores. Com base nas informações atualmente disponíveis, parece que um método de distribuição comum do ransomware Petya é por meio de spear phishing usando um documento malicioso (por exemplo, e-mail). Semelhante ao recente evento WannaCry, assim que o ransomware se infiltra em um sistema, o Petya criptografa o disco rígido e exige um resgate com Bitcoin para desbloqueá-lo.

Neste momento, não se espera qualquer impacto nos dispositivos da GE Healthcare que foram corrigidos por meio de patches para lidar com a vulnerabilidade MS17-010 SMBv1 (WannaCry). No entanto, o software e os dispositivos que ainda não foram corrigidos para lidar com MS17-010 SMBv1 permanecem vulneráveis ao ransomware Petya. A GE Healthcare recomenda que você aplique os patches necessários o mais rápido possível. Para obter mais informações sobre dispositivos ou produtos específicos em sua base instalada, entre em contato com o representante de serviços da GE ou com a assistência técnica da GE.

A GE Healthcare continuará monitorando a situação e fornecerá as atualizações necessárias.


Orientação da GE Healthcare sobre o ransomware WannaCry

Visão geral e histórico

A GE Healthcare está monitorando de perto e tomando medidas para lidar com uma campanha de ransomware contínua conhecida como WannaCry, WCry ou Wanna Decryptor, que tem como alvo sistemas baseados em Windows de todo o mundo. O "ransomware" (uma forma de malware) WannaCry propaga-se por meio de campanhas de phishing ou pela vulnerabilidade MS17-010 SMBv1 da Microsoft. Quando o WannaCry entra em um dispositivo, ele criptografa os dados no dispositivo e exige um resgate de bitcoin em troca da liberação dos dados e do desbloqueio do dispositivo.

A resposta inicial da GE Healthcare

A GE Healthcare ativou uma equipe de engenharia multifuncional, segurança cibernética, serviços e tecnologia para realizar uma revisão completa de todos os produtos.  Nossas equipes em todo o mundo estão monitorando continuamente a situação para garantir que os clientes e suas equipes de serviços tenham acesso às informações mais atualizadas disponíveis em uma situação altamente dinâmica.  

Patch da Microsoft

A Microsoft emitiu um patch para todas as versões atualmente suportadas do Microsoft Windows, incluindo Windows Vista, Windows 7, Windows 8.1 e Windows Server 2008 até 2016. Além disso, desde o ataque, a Microsoft emitiu patches para Windows XP, Windows 8 e Windows Server 2003.  Informações adicionais sobre o suporte da Microsoft a este incidente de segurança podem ser encontradas AQUI.

O que esperar?

A GE Healthcare tem o compromisso de oferecer suporte aos nossos clientes para manter seus sistemas e produtos de maneira segura na Internet. Se os clientes tiverem sido afetados pelo ransomware ou tiverem dúvidas sobre um determinado produto, eles serão incentivados a entrar em contato com o representante de serviços da GE ou com a assistência técnica da GE.  Embora cada cliente tenha circunstâncias únicas, como uma questão geral, para qualquer dispositivo com uma versão da Microsoft para a qual a Microsoft emitiu um patch (veja acima), o suporte provavelmente consistirá na instalação de um patch aprovado pela Microsoft instalado pelo cliente ou pela nossa equipe de serviços.   

Estamos criando orientações práticas para o processo de instalação e distribuição desta orientação por meio das equipes de Assistência Técnica e de Serviços da GE Healthcare, usadas para responder às perguntas dos clientes.

A GE Healthcare está fornecendo aos representantes de serviços atualizações contínuas da Microsoft e de órgãos do setor para garantir que os clientes recebam as informações mais atuais.  Temos o compromisso de fazer parcerias com nossos clientes e outras partes interessadas para implementar medidas robustas de segurança de produtos para proteger a integridade do cuidado do paciente em todo o mundo.