సైబర్ఎమ్డిఎక్స్ కంపెనీ గురించి సమాచారం , రోగి పరిస్థితులను పర్యవేక్షించడానికి రూపొందించబడిన వివిధ GE హెల్త్కేర్ వైద్య పరికరాలను ప్రభావితం చేస్తుంది. ఐదు దుర్బలత్వాలు గరిష్ట తీవ్రత స్థాయి (3కి CVSSv10 10) కేటాయించబడ్డాయి. దుర్బలత్వాలు MDhex అనే సంకేతనామం పెట్టబడ్డాయి మరియు మొత్తం పరికరాల శ్రేణిలో ఉపయోగించిన మునుపు తెలిసిన ముందే ఇన్స్టాల్ చేసిన ఆధారాల వినియోగానికి సంబంధించినవి.
- CVE-2020-6961 - మొత్తం ఉత్పత్తి లైన్ కోసం సాధారణ SSH కీ యొక్క పరికరాలపై డెలివరీ, ఇది ఏదైనా పరికరానికి కనెక్ట్ చేయడానికి మరియు దానిపై కోడ్ని అమలు చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. ఈ కీ నవీకరణ డెలివరీ ప్రక్రియలో కూడా ఉపయోగించబడుతుంది.
- CVE-2020-6962 - SMB ప్రోటోకాల్ ద్వారా ఫైల్ సిస్టమ్కు రైట్ మరియు రీడ్ యాక్సెస్ కోసం అన్ని పరికరాలకు సాధారణమైన ముందే నిర్వచించిన ఆధారాలు;
- CVE-2020-6963 - ప్రమాణీకరణ లేకుండా పరికరాన్ని (కీబోర్డ్, మౌస్ మరియు క్లిప్బోర్డ్ను అనుకరించడం) రిమోట్గా నియంత్రించడానికి మల్టీమౌస్ మరియు కవూమ్ KM అప్లికేషన్లను ఉపయోగించగల సామర్థ్యం;
- CVE-2020-6964 - అన్ని పరికరాల కోసం ముందే నిర్వచించబడిన VNC కనెక్షన్ పారామితులు;
- CVE-2020-6965 - ప్రీసెట్ రూట్ హక్కులతో రిమోట్ యాక్సెస్ను అనుమతించే వెబ్మిన్ వెర్షన్;
- CVE-2020-6966 – పరికరాలలో ఉపయోగించే అప్డేట్ ఇన్స్టాలేషన్ మేనేజర్ అప్డేట్ స్పూఫింగ్ను అనుమతిస్తుంది (అప్డేట్లు తెలిసిన SSH కీ ద్వారా ప్రమాణీకరించబడతాయి).
సమస్యలు టెలిమెట్రీ సేకరణ సర్వర్లు ApexPro మరియు CARESCAPE టెలిమెట్రీ సర్వర్, CIC (క్లినికల్ ఇన్ఫర్మేషన్ సెంటర్) మరియు CSCS (CARESCAPE సెంట్రల్ స్టేషన్) ప్లాట్ఫారమ్లను అలాగే B450, B650 మరియు B850 పేషెంట్ మానిటరింగ్ సిస్టమ్లను ప్రభావితం చేస్తాయి. దుర్బలత్వాలు పరికరాలపై పూర్తి నియంత్రణను అనుమతిస్తాయి, ఇది ఆపరేటింగ్ సిస్టమ్ స్థాయిలో మార్పులు చేయడానికి, అలారంను నిలిపివేయడానికి లేదా రోగి డేటాను మోసగించడానికి ఉపయోగించబడుతుంది.
దాడి చేయడానికి, దాడి చేసే వ్యక్తి తప్పనిసరిగా పరికరానికి నెట్వర్క్ కనెక్షన్ని ఏర్పాటు చేయగలగాలి, ఉదాహరణకు ఆసుపత్రి నెట్వర్క్కి కనెక్ట్ చేయడం ద్వారా. రక్షణ పరిష్కారాలుగా జనరల్ హాస్పిటల్ నెట్వర్క్ నుండి వైద్య పరికరాలతో సబ్నెట్ను వేరు చేయండి మరియు ఫైర్వాల్పై నెట్వర్క్ పోర్ట్లు 22, 137, 138, 139, 445, 10000, 5225, 5800, 5900 మరియు 10001ని బ్లాక్ చేయండి.
మూలం: opennet.ru