[Actualización 06/06/2024] Múltiples vulnerabilidades en productos GE HealthCare
- [Actualización 06/06/2024] EchoPAC Software Only hasta la versión v206, incluida.
- EchoPAC TurnKey;
- ImageVault.
Andrea Palanca y Gabriele Quagliarella, investigadores de Nozomi Networks, se han coordinado con GE HealthCare para la divulgación de 5 vulnerabilidades que afectan a este fabricante de productos sanitarios, siendo 1 de severidad crítica, 2 altas y 2 medias. Los productos afectados son vulnerables a la ausencia de cifrado en comunicaciones, bases de datos y credenciales codificadas, lo que podría permitir a un atacante acceder al sistema operativo si disponen de acceso físico a los mismos.
El fabricante recomienda a las organizaciones que adopten las mejores prácticas de seguridad y ciberseguridad, incluida la restricción del acceso físico a los dispositivos por parte de personas no autorizadas. También se aconseja el uso de la comunicación DICOM/TLS en lugar de EchoPAC Share para los clientes que tengan esta opción disponible.
La vulnerabilidad clasificada con severidad crítica consiste en el uso de una contraseña de cuenta débil en productos GE HealthCare EchoPAC. Se ha asignado el identificador CVE-2024-27107 para esta vulnerabilidad.
El resto de identificadores CVE para vulnerabilidades no críticas son: CVE-2024-27106, CVE-2024-27108, CVE-2024-27109 y CVE-2024-27110.
