Bienvenido(a) al Portal de seguridad de productos de GE HealthCare, un portal global, seguro y basado en la Web que proporciona a los clientes con credenciales un repositorio centralizado para acceder a las actualizaciones de seguridad, el estado y las acciones necesarias para los productos de GE HealthCare potencialmente afectados por las vulnerabilidades críticas; asimismo, les ofrece una vista histórica de productos de parches para parches no críticos publicados.

 

La seguridad cibernética del sistema de gestión de riesgos de seguridad cibernética

 

de GE HealthCare está integrada en la cultura de GE HealthCare, y estamos comprometidos a proteger nuestro negocio y a nuestros clientes.

 

Para obtener información sobre cómo notificar las vulnerabilidades descubiertas en los productos de GE HealthCare, consulte la Coordinated Vulnerability Disclosure Statement (Declaración de divulgación de vulnerabilidad coordinada) de GE HealthCare.

 

GE HealthCare is aware of a vulnerability in versions of the Apache Tomcat software. The vulnerability disclosure describes that a malicious actor could exploit the vulnerability to gain access to a system running a vulnerable version of this software.

 

Specific details are available via the links in the references section of the NVD listing:

https://nvd.nist.gov/vuln/detail/CVE-2025-24813

At this time, GE HealthCare is actively assessing products based on the available information to determine any possible impact. GE HealthCare customers can view more details and receive updates through our GE HealthCare Product Security Portal https://www.gehealthcare.com/productsecurity/products#security-notices-tab.

 

GE HealthCare is aware of a vulnerability in versions of the software “Mirth Connect” from 3rd party NextGen, which was disclosed in October 2023. On May 20, 2024, CISA added this vulnerability to the Known Exploited Vulnerabilities (KEV) Catalog. The disclosure describes that a malicious actor could exploit the vulnerability to gain access to a system running a vulnerable version of this software, and/or compromise sensitive healthcare data.
 

Specific details are available via the links in the references section of the NVD listing:

https://nvd.nist.gov/vuln/detail/CVE-2023-43208

GE HealthCare conducted a thorough investigation and concluded that only a very limited number of GE HealthCare products are potentially impacted by this vulnerability. There have been no customer complaints of malicious exploits against GE HealthCare products via Mirth Connect.

 

GE HealthCare customers can view more details and receive updates through our GE HealthCare Product Security Portal https://securityupdate.gehealthcare.com/.

 

GE HealthCare actively participated in a Coordinated Security Vulnerability Disclosure, describing how EchoPAC Software Only (SWO), EchoPAC TurnKey, and ImageVault products are vulnerable to unencrypted communication, unencrypted database and hardcoded, unencrypted credentials, allowing malicious actors to reach the operating system on these devices if allowed physical access to the device or access to the hospital network. GE HealthCare has determined that the existing mitigations and controls are in place and effectively reduce the risk as far as possible, therefore the residual risk associated with this vulnerability is acceptable.

 

For EchoPAC Software Only (SWO) the vulnerabilities are exploitable only when installed with the EchoPAC Share feature. EchoPAC Software Only (SWO) installed without EchoPAC Share is not impacted.

 

EchoPAC Plug-in and GE HealthCare ultrasound scanners are not impacted by these vulnerabilities.

 

GE HealthCare and Andrea Palanca and Gabriele Quagliarella of Nozomi Networks have interacted throughout the disclosure process.

Risk Analysis: GE HealthCare conducted a thorough investigation and determined that, in the unlikely event a malicious actor gains access to the hospital network or the device, they could gain access to patient information and/or render the system unusable, which would be immediately obvious to the intended user.  GE HealthCare has determined that the existing mitigations and controls are in place and effectively reduce the risk as far as possible, therefore the residual risk associated with this vulnerability is acceptable.

Security Recommendations: GE HealthCare recommends that organizations adopt security and cybersecurity best practices, including securing the network where EchoPAC is connected, and restricting the physical access to devices by unauthorized individuals.

 

If EchoPAC share is installed and not used it’s recommended to uninstall EchoPAC and then install again without selecting the “Share” option when installing.

 

It is recommended to use DICOM/TLS communication instead of EchoPAC Share (“remote archive”) for customers where that is an option.

 

Users of our legacy products ImageVault and EchoPAC Turnkey should consider migrating to newer products in the portfolio.

 

If you have any questions, please reach out to your local GE HealthCare Service Representative.

 

GE HealthCare actively participated in a Coordinated Security Vulnerability Disclosure, describing how the Common Service Desktop (CSD) component used in ultrasound devices is vulnerable to command injection and path traversal, allowing malicious actors to reach the operating system on these devices if allowed physical access to the device. GE HealthCare has determined that the existing mitigations and controls are in place and effectively reduce the risk as far as possible, therefore the residual risk associated with this vulnerability is acceptable.

 

GE HealthCare and Andrea Palanca and Gabriele Quagliarella of Nozomi Networks have interacted throughout the disclosure process.

Risk Analysis: GE HealthCare conducted a thorough investigation and determined that in the unlikely event a malicious actor with physical access rendered the device unusable, there would be clear indicators of this to the intended user of the device. The vulnerability can only be exploited by someone with direct, physical access to the device.  GE HealthCare has determined that the existing mitigations and controls are in place and effectively reduce the risk as far as possible, therefore the residual risk associated with this vulnerability is acceptable.

Security Recommendations: GE HealthCare recommends that organizations adopt security and cybersecurity best practices, including restriction of physical access to devices by unauthorized individuals.

 

If you have any questions, please reach out to your local GE HealthCare Service Representative. 

 

GE HealthCare actively participated in a Coordinated Security Vulnerability Disclosure, describing how ultrasound devices utilize a method of software application implementation called kiosk mode. This kiosk mode is vulnerable to local breakouts, allowing malicious actors to reach the operating system on these devices if allowed physical access to the device. GE HealthCare has determined that the existing mitigations and controls are in place and effectively reduce the risk as far as possible, therefore the residual risk associated with this vulnerability is acceptable.

 

 

GE HealthCare, Marc Ruef and Rocco Gagliardi of scip AG, Michael Aguilar of Secureworks, Jonathan Bouman of Protozoan.nl, Andrea Palanca and Gabriele Quagliarella of Nozomi Networks and DHS-CISA have interacted throughout the disclosure process.

 

CVE-2020-6977 has been assigned to the kiosk breakout vulnerability. A CVSS v3 base score of 8.4 has been calculated; the CVSS vector string is (CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). The previous version of this advisory used a CVSS score of 6.8; the CVSS vector string was (AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). For more information from DHS-CISA see: https://www.us-cert.gov/ics/advisories/icsma-20-049-02

 

CVE-2024-1486 has been assigned to an elevation of privileges via misconfigured access control list vulnerability. A CVSS v3 base score of 7.4 has been calculated; the CVSS vector string is CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

 

Risk Analysis: GE HealthCare conducted a thorough investigation and determined that in the unlikely event a malicious actor with physical access could render the device unusable, there would be clear indicators of this to the intended user of the device. The vulnerability can only be exploited by someone with direct, physical access to the device.  GE HealthCare has determined that the existing mitigations and controls are in place and effectively reduce the risk as far as possible, therefore the residual risk associated with this vulnerability is acceptable.

 

When GE HealthCare received information regarding a new kiosk breakout method and an elevation of privileges vulnerability, we conducted an additional investigation. Following this investigation, we updated the CVSS scoring (see above) and have released a new CVE. The list of impacted devices remains unchanged. We reviewed the safety risk associated with the vulnerability and it remains unchanged.

Security Recommendations: GE HealthCare recommends organizations restrict physical access to devices by unauthorized individuals.

 

If you have any questions, please reach out to your local GE HealthCare Service Representative.

 

GE HealthCare is aware of a vulnerability in two versions of the XZ Utils compression library was disclosed in March 2024. The XZ Utils library is included in Linux distributions. A malicious actor introduced changes in XZ Utils that would allow someone with the right private key to execute malware on a compromised system in a manner that would evade detection.

 

Specific details are available via the links in the references section of the NVD listing:

 

https://nvd.nist.gov/vuln/detail/CVE-2024-3094

 

GE HealthCare has not identified any products that are impacted currently. We will continue to monitor this vulnerability and if there are any changes, we will notify customers through our GE HealthCare Product Security Portal https://securityupdate.gehealthcare.com/.

 

GE HealthCare is aware of a vulnerability named “Looney Tunables” that was disclosed on October 3rd, 2023.  This vulnerability impacts the GNU C Library in several Linux distributions. The vulnerability was introduced into the library in April 2021. An attacker with local access to the system who successfully exploits this vulnerability could gain root privileges on hosts. An attacker who successfully exploited the vulnerability could then run specially crafted applications on the device.

 

Specific details are available from the researcher: https://blog.qualys.com/vulnerabilities-threat-research/2023/10/03/cve-2023-4911-looney-tunables-local-privilege-escalation-in-the-glibcs-ld-so.

 

GE HealthCare reviewed this vulnerability and found no products using a version of Linux that is impacted by this vulnerability based on information currently available. We will continue to monitor this vulnerability and notify customers through our Product Security Portal https://securityupdate.gehealthcare.com/.

 

GE HealthCare es consciente de las vulnerabilidades en varias versiones de la aplicación web MOVEit Transfer que se divulgaron en junio de 2023. Estas vulnerabilidades han sido aprovechadas por grupos de ransomware para robar datos de varias organizaciones públicas y privadas.

 

Los detalles específicos están disponibles del proveedor a través de los siguientes avisos:

https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023

 

https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-CVE-2023-35036-June-9-2023

 

https://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerability

 

GE HealthCare no ha identificado ningún producto que se vea afectado en este momento. Continuaremos monitoreando estas vulnerabilidades y, si hay algún cambio, notificaremos a los clientes a través de nuestro portal de seguridad de productos GE HealthCare https://securityupdate.gehealthcare.com/.

 

GE HealthCare is aware of a report on September 29th, 2022, from researchers at Mandiant of malware that has been deployed in VMware ESXi hypervisor environments. The attackers used malicious vSphere Installation Bundles (VIBs) to install backdoors on the ESXi hypervisors. The details are available from Mandiant: https://www.mandiant.com/resources/blog/esxi-hypervisors-malware-persistence

 

Specific details for hardening systems are available from the vendor: https://core.vmware.com/vsphere-esxi-mandiant-malware-persistence.

 

At this time, GE HealthCare is actively assessing products based on the available information to determine any possible impact. We will notify customers through our Product Security Portal https://securityupdate.gehealthcare.com/.

 

GE Healthcare está al tanto de la vulnerabilidad denominada "Spring4Shell" que se comunicó el 31 de marzo del 2022.  Esta vulnerabilidad afecta a Spring Framework 5.3.0, 5.3.17, 5.2.0, 5.2.19 y a las versiones anteriores no compatibles. Un atacante que aproveche con éxito la vulnerabilidad podría ejecutar aplicaciones especialmente diseñadas en el dispositivo.

 

Los detalles específicos están disponibles a través del siguiente sitio web del proveedor: https://tanzu.vmware.com/security/cve-2022-22965.

 

En este momento, GE Healthcare evalúa activamente los productos basándose en la información disponible para determinar cualquier impacto posible. Notificaremos a los clientes a través de nuestro Portal de seguridad de productos https://securityupdate.gehealthcare.com/.

 

GE Healthcare está al tanto de la vulnerabilidad denominada “Dirty Pipe” que se comunicó el 7 de marzo del 2022.  Esta vulnerabilidad afecta al núcleo de Linux a partir de la versión 5.8. Un atacante con acceso local al sistema, y que aproveche de manera correcta esta vulnerabilidad, podría obtener privilegios de administrador en los hosts. Un atacante que aproveche de manera correcta la vulnerabilidad puede ejecutar aplicaciones especialmente diseñadas en el dispositivo.

 

Los detalles específicos están disponibles a través del siguiente sitio web del investigador: https://dirtypipe.cm4all.com/.

 

En este momento, GE Healthcare evalúa activamente los productos basándose en la información disponible para determinar cualquier impacto posible. Notificaremos a los clientes a través de este Portal de seguridad de productos de GE Healthcare.

 

Actualizado el 12 de abril del 2022

 

GE Healthcare revisó estas vulnerabilidades y, según la información disponible actualmente, no encontró productos que utilicen una versión de Linux que se vea afectada por esta vulnerabilidad. Seguiremos supervisando esta vulnerabilidad y proporcionando actualizaciones a través del Portal de seguridad de GE Healthcare

 

GE HealthCare está al tanto de las vulnerabilidades divulgadas por CyberMDX, en colaboración con PTC y CISA el 8 de marzo del 2022 (https://www.cisa.gov/uscert/ics/advisories/icsa-22-067-01).  Estas vulnerabilidades afectan al agente Axeda de PTC.

 

GE HealthCare realizó evaluaciones de impacto y riesgo, que indican que solo un número muy limitado de productos de GE HealthCare podría verse afectado por un subconjunto de estas vulnerabilidades. Los clientes de GE HealthCare pueden ver más detalles y recibir actualizaciones sobre los próximos pasos a través de nuestro Portal de seguridad de productos https://securityupdate.gehealthcare.com/.

 

La seguridad de los productos es una de las principales prioridades de GE HealthCare, y seguiremos trabajando con los clientes para brindar una asistencia sanitaria segura.

 

GE HealthCare conoce la vulnerabilidad denominada "PwnKit" que Qualys comunicó el 25 de enero del 2022.  Esta vulnerabilidad repercute en el componente Polkit en sistemas operativos similares a Unix; el componente Polkit controla los privilegios de todo el sistema en el sistema operativo. Un atacante que aprovecha esta vulnerabilidad correctamente podría obtener privilegios de administrador en hosts con una configuración de Polkit predeterminada. Un atacante que haya aprovechado de manera correcta la vulnerabilidad puede ejecutar aplicaciones especialmente diseñadas en el dispositivo.

 

Los detalles específicos se encuentran disponibles en el siguiente enlace de Qualys: https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034.

 

En este momento, GE HealthCare evalúa activamente los productos basándose en la información disponible para determinar cualquier impacto posible. Notificaremos a los clientes a través de nuestro Portal de seguridad de productos https://securityupdate.gehealthcare.com/.

 

GE Healthcare conoce la vulnerabilidad denominada "Log4Shell" que Apache Software Federation comunicó el 9 de diciembre del 2021 (https://logging.apache.org/log4j/2.x/security.html).  Esta vulnerabilidad repercute en la biblioteca de registro Log4j que se utiliza generalmente en las aplicaciones Java. Un atacante que aprovecha correctamente esta vulnerabilidad puede ejecutar un código arbitrario en un servidor vulnerable con privilegios de nivel de sistema.

 

En este momento, GE Healthcare evalúa activamente los productos basándose en la información disponible para determinar cualquier impacto posible. Notificaremos a los clientes a través de nuestro Portal de seguridad de productoshttps://securityupdate.gehealthcare.com/.

 

Many GE HealthCare products are equipped with firewalls. Firewalls help defend critical systems by establishing another layer of protection between the network and the product.

 

GE HealthCare recommends the following guidance on firewall usage in medical devices.

 

Security Recommendations

• Medical devices that come with a firewall enabled as part of its configuration should not have its firewall disabled during clinical use.
• Limit network connectivity to necessary IP addresses and services.
   

Security Considerations

• A disabled firewall could result in unintended consequences (e.g. unavailability of the system).
• Properly configured firewalls will not adversely impact product performance.

Additional Suggestions

• Change default passwords in your system.
• Install and configure systems following the guidance in the product documentation.
• Follow user account management best practices.
• Keep systems up to date with the latest approved patches for all components.
   

If you have any questions or need guidance for securing your GE HealthCare system, please contact your local GE representative. GE HealthCare follows a continuous vulnerability management process to support risk assessment and remediation of applicable vulnerabilities. Approved third-party security patches for impacted products are detailed elsewhere on the GE HealthCare Product Security Portal.

 

Product security is a top priority for GE HealthCare, and we will continue to work with customers to provide safe and secure healthcare.

 

GE HealthCare tiene conocimiento de un grupo de vulnerabilidades llamado "NUCLEUS:13" que fueron reveladas por investigadores de Forescout y Medigate el 9 de noviembre del 2021 (https://us-cert.cisa.gov/ics/advisories/icsa-21-313-03). Estas vulnerabilidades afectan al sistema operativo en tiempo real (RTOS, por su sigla en inglés) Nucleus de Siemens.

 

 

Se realizaron evaluaciones del producto en relación con el número limitado de subcomponentes de los productos de GE HealthCare que utilizan el RTOS Nucleus. Los equipos de los productos evaluaron el diseño de seguridad y los controles de mitigación. Debido a la implementación de estos controles de diseño y medidas de mitigación, GE HealthCare determinó que estos productos no se ven afectados por estas vulnerabilidades.

 

GE HealthCare continuará supervisando la situación y proporcionará las actualizaciones necesarias. Notificaremos a los clientes a través de nuestro Portal de seguridad de productos https://securityupdate.gehealthcare.com/.

 

GE HealthCare tiene conocimiento de una vulnerabilidad que afecta al sistema operativo en tiempo real (RTOS, por su sigla en inglés) QNX de Blackberry.  La vulnerabilidad está relacionada con una falla de gestión de memoria en una función del RTOS. Para aprovechar esta vulnerabilidad, se requiere acceso externo a QNX.

 

Se realizaron evaluaciones del producto en relación con el número limitado de subcomponentes de los productos de GE HealthCare que utilizan el RTOS QNX de Blackberry. Los equipos de los productos evaluaron el diseño de seguridad y los controles de mitigación. Debido a la implementación de estos controles de diseño y medidas de mitigación, GE HealthCare determinó que estos productos no se ven afectados por esta vulnerabilidad.

 

GE HealthCare continuará supervisando la situación y proporcionará las actualizaciones necesarias. Notificaremos a los clientes a través de nuestro Portal de seguridad de productos https://securityupdate.gehealthcare.com.

 

GE HealthCare tiene conocimiento de la vulnerabilidad CVE-2021-34527, llamada “PrintNightmare”.   Puede encontrar información sobre la vulnerabilidad PrintNightmare en el siguiente enlace: https://us-cert.cisa.gov/ncas/current-activity/2021/06/30/printnightmare-critical-windows-print-spooler-vulnerability

Actualmente, GE HealthCare evalúa de manera activa los productos en función de la información disponible a fin de determinar cualquier impacto posible. Notificaremos a los clientes acerca de las actualizaciones a través de este Portal de seguridad de productos de GE HealthCare.

 

Contexto

 

En octubre de 2019, Greenbone Networks (una empresa de investigación de seguridad en Alemania) encontró cientos de servidores de imágenes médicas (PACS) abiertos a Internet, lo que expone información confidencial del paciente. El investigador pudo utilizar un software de libre disponibilidad o incluso un navegador para ver imágenes médicas y datos de pacientes de sistemas no protegidos. Somos conscientes de que se están enviando repetidas alertas sobre este tema para dar mayor conocimiento e informes de medios sobre un creciente número de sistemas PACS abiertos a Internet. Las siguientes recomendaciones no han cambiado desde las notificaciones anteriores.

 

Recomendaciones de seguridad

 

Los sistemas que se utilizan para proporcionar atención médica humana o que contienen información privada o confidencial no deben abrirse de esta manera. GE HealthCare recomienda configurar los sistemas PACS para que solo sean accesibles dentro de la red del sistema de salud. Si se requiere acceso fuera de la red del sistema de salud, el acceso se debe controlar mediante una VPN y, si es posible, limitar el acceso a dispositivos de título de entidad de aplicación (AET) conocidos. También se recomienda configurar los sistemas para utilizar el nivel más alto de seguridad de la capa de transporte (TLS) compatible con la combinación de productos en el sistema de salud. Para proteger la confidencialidad del paciente, los sistemas con fines educativos deben utilizar datos anonimizados.

 

Sugerencias adicionales

 

• Cambie las contraseñas predeterminadas en el sistema
• Instale y configure el sistema PACS siguiendo las instrucciones de la documentación del producto
• Siga las prácticas recomendadas de administración de cuentas de usuario
• Las instalaciones de salud que ejecutan versiones anteriores de PACS deben comunicarse con su ejecutivo de cuenta de GE para analizar las opciones
• Limite la conectividad de red a las direcciones IP y servicios necesarios
• Mantenga los sistemas actualizados con los parches aprobados más recientes para todos los componentes

 

Si tiene alguna pregunta o necesita orientación para asegurar su sistema PACS de GE HealthCare, comuníquese con su representante local de GE. GE HealthCare ejerce un proceso de gestión de vulnerabilidades para respaldar la evaluación de riesgos y la corrección de las vulnerabilidades aplicables. Los parches de seguridad de terceros aprobados para los productos afectados se detallan en el Portal de seguridad de productos de GE HealthCare.

 

La seguridad de los productos es una de las principales prioridades de GE HealthCare, y seguiremos trabajando con los clientes para brindar una asistencia sanitaria segura.

 

Publicado originalmente el 2 de octubre de 2020, actualizado el 30 de octubre de 2020: Se actualizó para incluir más información sobre los ataques de ransomware. Revise la siguiente información en su totalidad.

 

El 28 de octubre, la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), el Buró Federal de Investigación (FBI) y el Departamento de Salud y Servicios Humanos (HHS) emitieron un aviso conjunto de ciberseguridad y advirtieron sobre “información creíble de una amenaza creciente e inminente de cibercrimen a hospitales y proveedores sanitarios de los EE. UU.”. Esta amenaza incluye la implementación de malware denominado “Trickbot”, que luego implementa ransomware conocido como “Ryuk”.

 

¿Qué es el ransomware?

 

El ransomware es un tipo de malware que cifra los datos o el almacenamiento de la computadora y, luego, intenta extorsionar a la víctima solicitándole dinero a cambio de acceder a la clave para descifrar los datos, especialmente con un éxito histórico limitado de descifrado.

 

¿Qué ocurre?

 

Las infecciones suelen comenzar con ataques de ingeniería social, como el phishing, que apunta a los empleados: el empleado recibe un correo electrónico malicioso, abre el archivo adjunto o el enlace y, al hacerlo, infecta su dispositivo con malware. Este malware permite la propagación del ransomware en la red de la organización, cifra archivos cruciales, elimina archivos de copia de seguridad y elimina aplicaciones de seguridad. Las vulnerabilidades de seguridad sin parches pueden contribuir a esta propagación.

 

Nos gustaría aprovechar esta oportunidad para recordarle que muchas vulnerabilidades se pueden resolver manteniendo sus sistemas operativos actualizados con los parches aprobados más recientes de sus proveedores de sistemas.  GE HealthCare ejerce un proceso de gestión de vulnerabilidades para respaldar la evaluación de riesgos y la corrección de las vulnerabilidades aplicables.  Los parches de seguridad de terceros aprobados para los productos afectados se detallan en el Portal de seguridad de productos de GE HealthCare. En muchos casos, los clientes pueden descargar e instalar estos parches directamente sin asistencia técnica, siguiendo las instrucciones de la documentación del producto. Los detalles se brindan según el producto y la vulnerabilidad correspondiente. En elPortal de seguridad de productos de GE HealthCare se puede buscar por producto y CVE (vulnerabilidades y exposiciones comunes: identificadores únicos para vulnerabilidades), y le permite suscribirse a las notificaciones.

 

Sugerencias adicionales

 

• Realice copias de seguridad de los sistemas y archivos fundamentales de manera regular y mantenga al menos una copia externa y fuera de línea.
• Capacite a todos los empleados sobre cómo detectar y evitar la ingeniería social o los ataques de phishing.
• Mantenga los sistemas actualizados con los parches de software aprobados más recientes para todos los componentes.
• Limite la conectividad de red solo a esos puntos extremos necesarios para que el dispositivo/software funcione correctamente, lo que restringe específicamente la exposición directa a Internet, según corresponda.
• Mantenga actualizados los controles y la infraestructura de ciberseguridad de la empresa.
   

Información adicional

 

Tenga en consideración la siguiente guía de ransomware publicada por CISA y MS-ISAC: Guía de ransomware publicada por CISA y MS-ISAC

 

Para obtener más información sobre el aviso conjunto de ciberseguridad: Actividad de ransomware dirigida al sector de la salud y la salud pública

 

Nuestro objetivo es continuar mejorando todos los aspectos de cómo servimos a su organización, a los profesionales y al personal de la salud.  Siga las pautas anteriores y comuníquese con su equipo de soporte local de GE HealthCare si tiene alguna pregunta.

 

Portal de seguridad de productos de GE HealthCare

 

La información sobre parches aprobados para las soluciones de GE HealthCare está disponible en nuestro Portal de seguridad de productos de GE HealthCare. El acceso al portal está disponible sin cargo para los clientes. Si aún no está registrado, regístrese automáticamente con el botón “Register” (Registrarse) del Portal de seguridad de productos de GE HealthCare. Si este registro no funciona por algún motivo, comuníquese con su representante local de GE, quien podrá solicitar acceso en su nombre.

 

GE HealthCare está al tanto de las vulnerabilidades de pila TCP/IP llamadas “Name:Wreck” que revelaron los investigadores de Foresut y JSOF el 13 de abril de 2021 (https://us-cert.cisa.gov/ncas/current-activity/2021/04/15/namewreck-dns-vulnerabilities).

 

En este momento, GE HealthCare evalúa activamente los productos basándose en la información disponible para determinar cualquier impacto posible. Consulte nuestro Portal de seguridad de productos de GE HealthCare (https://securityupdate.gehealthcare.com/) para obtener más información.

 

Actualizado el 07 de mayo de 2021

 

GE HealthCare revisó estas vulnerabilidades y determinó que, según la información disponible actualmente, solo CVE-2016-20009 es potencialmente relevante para los productos de GE HealthCare. En el portal puede encontrar la aplicabilidad de esta CVE por producto. Las otras vulnerabilidades afectan a las pilas TCP/IP que no se utilizan en los productos de GE HealthCare. Seguiremos supervisando estas vulnerabilidades y proporcionando actualizaciones a través del Portal de seguridad de productos de GE HealthCare (https://securityupdate.gehealthcare.com/).

 

Microsoft ha identificado una vulnerabilidad de ejecución de código remoto en la implementación de TCP/IP que afecta a los sistemas operativos Windows. Microsoft indica que un atacante que aproveche con éxito las vulnerabilidades podría ejecutar un código arbitrario en el contexto de la cuenta del sistema local, lo que podría permitir una explotación de denegación de servicio (DoS) de estas vulnerabilidades.

Microsoft ofrece información específica al respecto:https://msrc-blog.microsoft.com/2021/02/09/multiple-security-updates-affecting-tcp-ip/.

 

GE HealthCare evalúa activamente los productos que utilizan los sistemas operativos Microsoft afectados para determinar si alguno se ve afectado. Consulte nuestro Portal de seguridad de productos de GE HealthCare (https://securityupdate.gehealthcare.com/) para obtener más información.

 

Qualys ha identificado una vulnerabilidad de elevación de privilegios en “sudo”, una utilidad disponible en los principales sistemas operativos similares a Unix. Esta vulnerabilidad permite que un usuario sin privilegios obtenga privilegios de raíz en hosts con una configuración predeterminada de sudo. Un atacante que aprovechó con éxito la vulnerabilidad puede ejecutar aplicaciones especialmente diseñadas en el dispositivo.

 

Los detalles específicos están disponibles en Qualys: https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit.

 

GE HealthCare ha realizado evaluaciones iniciales de esta vulnerabilidad basadas en la puntuación de riesgo y la cadena de vector CVSS, que confirma que la explotación de esta vulnerabilidad requiere acceso local a dispositivos con la vulnerabilidad sudo. Consulte nuestro Portal de seguridad de productos de GE HealthCare (https://securityupdate.gehealthcare.com/) para obtener más información.

 

Innokas Medical ha identificado vulnerabilidades en el monitor de signos vitales VC150 y ha lanzado mejoras en la seguridad para abordar dichas vulnerabilidades. Según la evaluación de Innokas, las vulnerabilidades no tienen un impacto directo en la funcionalidad, el rendimiento o los datos clínicos medidos de VC150.

 

Como distribuidor de VC150, GE HealthCare ha puesto a disposición la nueva versión de software de Innokas en el sistema Flexera eDelivery.

 

Además, la nueva versión de software también está disponible directamente desde Innokas Medical, a través de su portal de descarga de softwarehttps://vc150.com/downloads.

 

GE HealthCare tiene conocimiento de las vulnerabilidades de SolarWinds que afectan a muchas organizaciones públicas y privadas en las que los atacantes insertaron códigos maliciosos en actualizaciones de software legítimas.  Este tipo de incidente se denomina ataque a la cadena de suministro porque se introdujo el software malicioso mientras se ensamblaba en SolarWinds.

 

Se realizaron evaluaciones de productos de GE HealthCare en relación con todos los productos; ninguno de estos productos se ve afectado por las vulnerabilidades de SolarWinds.  Nuestros dispositivos no contienen los componentes de software afectados y vulnerables, ni los utilizamos para dar asistencia a nuestros productos.

 

Si tiene alguna pregunta, comuníquese con su representante local de GE. GE HealthCare ejerce un proceso de gestión de vulnerabilidades para respaldar la evaluación de riesgos y la corrección de las vulnerabilidades aplicables.  Los parches de seguridad de terceros aprobados para los productos afectados se detallan en el Portal de seguridad de productos de GE HealthCare.

 

La seguridad de los productos es una de las principales prioridades de GE HealthCare, y seguiremos trabajando con los clientes para brindar una asistencia sanitaria segura.

Resumen: GE HealthCare está divulgando vulnerabilidades de seguridad dentro de determinados productos mediante soluciones de conectividad remota específicas. CyberMDX ha notificado estas vulnerabilidades a GE HealthCare. La divulgación pública de las vulnerabilidades es una acción coordinada entre GE HealthCare y CyberMDX.

 

Antecedentes: En 2018, GE HealthCare trabajó con un investigador de seguridad en una divulgación pública del uso de contraseñas predeterminadas en ciertos dispositivos médicos de GE HealthCare. Recientemente, CyberMDX, otro investigador externo, informó a GE HealthCare que la combinación de contraseñas predeterminadas con una versión de funcionalidad de servicio remoto puede permitir que un tercero malintencionado obtenga un nivel de acceso al menos comparable con un usuario del servicio de GE (remoto). Esta posible vulnerabilidad no es directamente accesible desde fuera de la red del cliente, ya que la protección de esta conexión de servicio remoto se ejecuta dentro del límite de la red. Sin embargo, es posible que la exposición de la conexión (tráfico) en la red del cliente al dispositivo médico permita que una parte maliciosa utilice la vulnerabilidad para obtener acceso al dispositivo.

 

No se han informado incidentes en un entorno de uso clínico de un ataque cibernético o cualquier lesión informada como resultado de este problema.

 

Declaración de seguridad: GE HealthCare ha realizado un riguroso análisis de izquierda a derecha en toda su cartera de productos, seguido de una evaluación de los riesgos de seguridad de todos los productos posiblemente afectados para evaluar las peores situaciones de acceso y sus posibles resultados. El resultado de estas evaluaciones indica que no hay ningún problema de seguridad asociado y que puede seguir utilizando los dispositivos. Con extrema cautela, según la confianza del cliente en la seguridad de la red local, a continuación se describen las mejores prácticas recomendadas.

 

Acciones y recomendaciones de seguridad: Desde la divulgación inicial en 2018, GE HealthCare ha realizado numerosas mejoras en el desarrollo del diseño de productos, los procesos de instalación y mantenimiento para garantizar mejoras en el uso de contraseñas a medida que desarrollamos nuestra postura de seguridad de dispositivos médicos en consonancia con las normas de la industria o anticipándonos a ellas.

 

La situación anterior solo se aplica a las versiones específicas del producto que se enumeran en el Portal de seguridad de productos de GE HealthCare en https://securityupdate.gehealthcare.com/ . Este Portal también incluye recomendaciones sobre las prácticas recomendadas de seguridad de red aplicables.

 

CVE-2020-25175 y CVE-2020-25179 se asignaron a estas vulnerabilidades. La puntuación aplicada a estas vulnerabilidades representa una situación en la que las contraseñas predeterminadas no se han modificado y las redes locales no se consideran confiables. La puntuación asignada es una puntuación CVSS v3.1 de 9,8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H). Cuando la configuración es correcta, debe aplicarse una puntuación medioambiental como la que sugiere GE HealthCare a continuación, con la puntuación CVSS v3.1 de 7,5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/MAV:A/MAC:H). Para obtener más información sobre las vulnerabilidades individuales y los identificadores CVE, consulte el aviso de la Agencia de Ciberseguridad y Seguridad de la Infraestructura del Departamento de Seguridad Nacional de EE. UU. (DHS-CISA) aquí.

 

No se ha notificado ningún ataque cibernético en un uso clínico ni ninguna lesión asociada a ninguna de estas vulnerabilidades.

Comuníquese con su representante local de GE para obtener información relativa a la instalación, la configuración, el mantenimiento y la monitorización de las redes o sobre las recomendaciones específicas señaladas anteriormente.

 

Portal de seguridad de productos de GE HealthCare

 

Para obtener más información, visite el Portal de seguridad de productos de GE HealthCare en https://securityupdate.gehealthcare.com/ . El acceso al portal está disponible sin cargo para los clientes. Si aún no está registrado, regístrese automáticamente con el botón “Register” (registrarse) en la página de inicio del Portal de seguridad de productos de GE HealthCare. Si este registro no funciona por algún motivo, comuníquese con su representante local de GE, quien podrá solicitar acceso en su nombre.

 

Microsoft ha identificado una vulnerabilidad de elevación de privilegios en los servidores de controlador de dominio de Windows que afecta a los siguientes sistemas operativos de Windows Server: Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server versiones 1903, 1909 y 2004. Los sistemas Linux/Unix que ejecutan Samba también se ven afectados por esta vulnerabilidad. Esta vulnerabilidad solo afecta a los servidores que están configurados como controladores de dominio. Un atacante que aprovechó con éxito la vulnerabilidad puede ejecutar una aplicación especialmente diseñada en un dispositivo de la red.

Microsoft ofrece información específica al respecto:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472. Los detalles sobre la vulnerabilidad en Samba están disponibles: https://www.samba.org/samba/security/CVE-2020-1472.html.

 

GE HealthCare evalúa activamente los productos que utilizan sistemas operativos Microsoft y sistemas Unix/Linux afectados por Samba.  Esta declaración se actualizará a medida que haya más información disponible y notificaremos a los clientes a través de nuestro Portal de seguridad de productos de GE HealthCare (https://securityupdate.gehealthcare.com).

 

Microsoft ha identificado una vulnerabilidad de ejecución de código remoto en los servidores del sistema de nombres de dominio (DNS) de Windows que afecta a los siguientes sistemas operativos de Windows Server: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server versiones 1903, 1909 y 2004. Esta vulnerabilidad solo afecta a los servidores que están configurados como servidores DNS. Un atacante que aprovechó con éxito la vulnerabilidad puede ejecutar un código arbitrario en el contexto de la cuenta del sistema local.

 

Los detalles específicos están disponibles en Microsoft: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350.

 

GE HealthCare está evaluando activamente los productos que utilizan los sistemas operativos de Microsoft afectados. Esta declaración se actualizará a medida que haya más información disponible y notificaremos a los clientes a través de nuestro Portal de seguridad de productos de GE HealthCare (https://securityupdate.gehealthcare.com/).

 

Actualizado el 11 de agosto de 2020

 

Esta vulnerabilidad también afecta a Microsoft Windows Server 2003. GE HealthCare está evaluando activamente productos que utilizan Windows Server 2003 e incluirá esa información en el Portal de seguridad de productos de GE HealthCare (https://securityupdate.gehealthcare.com). Dado que Microsoft ya no es compatible con Windows Server 2003 y no ha lanzado un parche para este sistema operativo (SO), si corresponde, GE HealthCare intentará proporcionar una solución de acuerdo con la información proporcionada por Microsoft para aquellos dispositivos en este SO que estén configurados como servidores DNS.

 

GE HealthCare tiene conocimiento de varias vulnerabilidades de pila TCP/IP, denominadas Ripple20, divulgadas por Treck el 16 de junio de 2020 (https://www.us-cert.gov/ics/advisories/ICSA-20-168-01). En la actualidad, GE HealthCare no está al tanto de que ninguno de sus productos que se vea afectado directamente por estas vulnerabilidades, pero existe un posible impacto en los componentes de terceros utilizados en combinación con los productos de GE HealthCare. Nuestros clientes pueden encontrar más información a través de nuestro Portal de seguridad de productos (https://securityupdate.gehealthcare.com/).

 

GE HealthCare tiene constancia de varias vulnerabilidades de VxWorks detectadas en la pila TCP/IP (IPnet), un componente de ciertas versiones de VxWorks. Wind River ha creado parches para estas vulnerabilidades de seguridad. Hasta la fecha, no hay ninguna indicación de que las vulnerabilidades se hayan explotado.

 

Hemos completado las evaluaciones de aplicabilidad de nuestros productos en función de los componentes del software del producto y, cuando corresponda, evaluaciones exhaustivas. Los clientes de GE HealthCare pueden revisar el estado o el posible impacto por producto en https://securityupdate.gehealthcare.com.

 

GE HealthCare continuará supervisando la situación y proporcionará las actualizaciones necesarias, y notificaremos a los clientes a través de nuestro Portal de seguridad de productos (https://securityupdate.gehealthcare.com).

 

GE HealthCare reconoce una colección de 12 vulnerabilidades que afectan a los dispositivos Bluetooth Low Energy, conocidos colectivamente como SWEYNTOOTH. Las 12 vulnerabilidades identificadas se relacionan con fabricantes de hardware Bluetooth específicos que utilizan diversos kits de desarrollo de software (SDK) afectados. Estas vulnerabilidades no están estrictamente relacionadas con el protocolo de Bluetooth Low Energy en sí.

 

Se han realizado evaluaciones de todos los productos de GE HealthCare que utilizan comunicación Bluetooth; ninguno de estos productos se ve afectado por las vulnerabilidades de SWEYNTOOTH. Nuestros dispositivos no contienen los componentes de hardware Bluetooth vulnerables afectados.

 

El proceso estándar de GE HealthCare es monitorear continuamente nuestros productos ante las vulnerabilidades y brindar actualizaciones a nuestros clientes, según sea necesario, en nuestro portal de seguridad de productos en https://securityupdate.gehealthcare.com/

 

Resumen: GE HealthCare está divulgando información sobre vulnerabilidades de seguridad con posibles repercusiones para la seguridad en determinados productos de monitorización. CyberMDX ha notificado estas vulnerabilidades a GE HealthCare.

 

Divulgación de información sobre seguridad: Cuando se conecta a redes críticas (MC) o de intercambio de información (IX) configuradas incorrectamente, en determinadas versiones del servidor de telemetría CARESCAPE, el servidor de telemetría ApexPro, la versión 1 de CARESCAPE Central Station (CSCS) y sistemas Central Information Center (CIC) se detectaron vulnerabilidades que, de explotarse, podrían ocasionar la pérdida de la monitorización o la pérdida de alarmas durante la monitorización activa del paciente. La vulnerabilidad y el riesgo de explotación asociado son mayores si las redes mencionadas no están correctamente configuradas.

 

Situación: Se han detectado seis (6) vulnerabilidades que, de explotarse, podrían permitir a un atacante hacer lo siguiente:

 

• Realizar cambios en el sistema operativo del dispositivo que inutilicen el dispositivo o interfieran en su funcionamiento; o
• Realizar determinados cambios en la configuración de las alarmas en los monitores de paciente conectados; o
• Utilizar servicios empleados para la visualización y el control remotos de varios dispositivos en la red para acceder a la interfaz de usuario clínico y realizar cambios en la configuración del dispositivo y en los límites de alarma, que podrían activar alarmas innecesarias o silenciar o impedir que se emitan alarmas.
   

Las redes MC e IX configuradas de forma correcta reducen enormemente las posibilidades de acceder a las redes, pero no las eliminan. Por este motivo, si las redes están adecuadamente aisladas, para que se produjera este problema la persona no autorizada tendría que acceder físicamente a los dispositivos de monitorización indicados de forma individual o acceder directamente a las redes MC e IX aisladas en el centro hospitalario.

 

En las instrucciones proporcionadas con los dispositivos, GEHC exige que las redes MC e IX se configuren y se aíslen adecuadamente de las demás redes del hospital. Si no se siguen esas instrucciones, puede producirse una situación de vulnerabilidad que permitiría a un atacante acceder a las redes MC e IX a través de la red del hospital.

 

Si un atacante accede a las redes MC e IX, podría explotar lo siguiente: una clave privada expuesta, servicios expuestos y componentes con vulnerabilidades de software detectadas. Además de la anterior divulgación de información sobre las repercusiones en el producto, dicha explotación podría permitir acceder a un historial limitado de datos del paciente (p. ej., datos de monitorización/parámetros). La puntuación aplicada a estas vulnerabilidades refleja una situación en la que no se siguen las instrucciones de implementación y se puede acceder a las redes MC e IX desde la red del hospital. La puntuación asignada es una puntuación CVSS v3.1 de 10,0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H). Cuando la configuración es correcta, debe aplicarse una puntuación medioambiental como la que sugiere GE HealthCare a continuación, con la puntuación CVSS v3.1 de 8,2
(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/CR:H/IR:H/AR:H/MAV:L/MAC:H). Para obtener más información sobre las vulnerabilidades individuales y los identificadores CVE, consulte el aviso de la Agencia de Ciberseguridad y Seguridad de la Infraestructura del Departamento de Seguridad Nacional de EE. UU. (DHS-CISA) aquí.

 

Recomendaciones de seguridad: Puede seguir usando sus dispositivos. Confirme que las redes MC e IX estén configuradas de forma correcta para garantizar que el aislamiento y la configuración cumplen los requisitos indicados en la Guía de configuración de la red de monitorización del paciente, la Guía de configuración de la red CARESCAPE y los manuales técnicos y de mantenimiento de su producto. Una red correctamente aislada exige que el atacante tenga acceso físico para explotar una vulnerabilidad de seguridad.

 

Además de aplicar las prácticas recomendadas de administración de redes, asegúrese de que:

1. Las redes MC e IX estén aisladas.
   
   
2. Los cortafuegos/el enrutador MC e IX bloqueen el tráfico entrante, según proceda.
   
   
3. El acceso físico a estaciones centrales, servidores de telemetría, la red MC y la red IX esté restringido.
   
   
4. Las contraseñas predeterminadas se modifiquen cuando proceda.
   
   
5.  Se sigan las prácticas recomendadas de administración de contraseñas.

No se ha notificado ningún ataque cibernético en un uso clínico ni ninguna lesión asociada a ninguna de estas vulnerabilidades.

 

Además, GE está desarrollando actualizaciones de software/parches que incluyen mejoras de seguridad adicionales que se pondrán a disposición de los usuarios. De conformidad con el proceso de higiene continuo relativo a la ciberseguridad de GE, los clientes pueden acceder al sitio web de seguridad de GE (https://securityupdate.gehealthcare.com) para recibir la información más reciente al respecto, y pueden suscribirse para recibir notificaciones cuando haya disponibles nuevas actualizaciones/parches.

 

Comuníquese con su representante local de GE para obtener información relativa a la instalación, la configuración, el mantenimiento y la monitorización de las redes o si tiene cualquier otra pregunta.

 

Nota: Si bien en otros productos (enumerados en la tabla de abajo) existe un subconjunto de vulnerabilidades, estos dispositivos tienen distintos diseños y mitigaciones de seguridad, por lo tanto, no se prevé que sean susceptibles a la explotación de vulnerabilidades de seguridad. Los clientes que usen estos productos no tienen que tomar ninguna medida para solucionar este problema.

 

Microsoft ha detectado una vulnerabilidad de suplantación de identidad en versiones de los sistemas operativos Windows 10 y Windows Server 2016/2019, relativa a la forma en que Windows CryptoAPI valida los certificados. Un atacante podría explotar esta vulnerabilidad usando un certificado de firma de código falsificado para firmar ejecutables y sitios web malintencionados.

 

Los detalles específicos están disponibles en Microsoft: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0601.

 

GE HealthCare está evaluando activamente los productos que utilizan los sistemas operativos de Microsoft afectados. Esta declaración se actualizará a medida que haya más información disponible y notificaremos a los clientes a través de nuestro Portal de seguridad de productos de GE HealthCare (https://securityupdate.gehealthcare.com).

 

GE HealthCare tiene conocimiento de los informes de Microsoft para usuarios de varias versiones de Windows para aplicar actualizaciones fundamentales de Windows.  Microsoft diseñó un parche para una vulnerabilidad de ejecución remota de código crítica en los servicios de escritorio remoto que existe en las siguientes versiones: Windows 7 SP1, Windows 8.1, Windows 10 y versiones de Windows Server como Windows Server 2008 R2 y Windows Server 2012. Estamos realizando evaluaciones de nuestros productos para determinar cualquier impacto posible. Esta declaración se actualizará a medida que haya más información disponible y notificaremos a los clientes a través de nuestro Portal de seguridad de productos (https://securityupdate.gehealthcare.com/) si se sospecha o se tiene conocimiento de algún producto en riesgo.

 

Resumen

GE HealthCare tiene conocimiento de una divulgación por parte de ICS-CERT/CISA que describe cómo conectar un puerto serie del dispositivo a través de un servidor de terminal de terceros complementario y con seguridad deficiente a una red de hospital puede conducir a un acceso no autorizado a ciertos dispositivos de anestesia de GE HealthCare. Esta vulnerabilidad no se encuentra en el propio dispositivo de anestesia, sino que puede surgir si los usuarios han conectado el dispositivo a servidores de terminales de red de terceros con una protección deficiente.

 

La vulnerabilidad podría afectar a los dispositivos de anestesia de GE HealthCare de las siguientes cuatro formas:
 

1. Sensor de flujo
   

   Aunque es extremadamente improbable, un servidor de terminales con una seguridad insuficiente puede permitir que un atacante malintencionado que haya logrado acceder a la red del hospital envíe parámetros de corrección fraudulentos del sensor de flujo a ciertos productos (consulte la tabla). Un servidor de terminales es un accesorio que se puede obtener de un proveedor externo (que no sea GE HealthCare) fuera de la configuración estándar del producto. Si se envían parámetros de corrección del sensor de flujo fraudulento, la calibración del sensor de flujo podría verse afectada y causar un exceso de entrega del volumen corriente a un paciente si se utiliza la ventilación de control de volumen. El exceso de entrega del volumen corriente podría, en raras ocasiones, conducir teóricamente a un mayor riesgo de lesiones pulmonares. Además, se podría producir, en teoría, una administración insuficiente y provocar la administración de un volumen total de gas insuficiente. Si esto ocurriera sin una intervención clínica normal, en teoría la oxigenación o ventilación del paciente podrían verse comprometidas.
    

   Nota: Las máquinas de anestesia involucradas tienen controles de gas analógicos y un vaporizador mecánico, por lo tanto, no es posible el ajuste remoto de la mezcla de gases o los niveles de drogas.
    

2. Alarma

   Las alarmas pueden ser silenciadas por un agente malintencionado; sin embargo, esto solo puede producirse después de que suene la alarma sonora inicial. Las alarmas visuales continúan mostrándose y seguirán disponibles para el médico responsable. Además, las nuevas alarmas rompen el comando de silencio de alarma y emiten una alerta sonora al usuario. Los dispositivos de anestesia están calificados como “dispositivos asistidos” que un médico altamente cualificado está monitorizando de forma continua y no se espera que esto cause daños al paciente.
    

3. Reloj

   Un atacante malintencionado podría modificar la fecha y la hora del dispositivo en determinados productos (consulte la tabla); sin embargo, esta modificación no puede ocurrir después de que se haya iniciado el procedimiento del paciente y no afecta el uso previsto del dispositivo. La hora se muestra en la pantalla en todo momento. No se espera que esta situación cause daños al paciente.
    

4. Peso y edad del paciente

   Un atacante malintencionado podría cambiar el peso y la edad del paciente en determinados productos (consulte la tabla); sin embargo, estos parámetros deben confirmarse y aceptarse antes de que el personal clínico utilice el dispositivo, no afectan automáticamente al rendimiento del dispositivo y no pueden modificarse mientras el dispositivo está en uso. No se espera que esta situación cause daños al paciente.
    

   No se ha producido ninguna incidencia de ataques cibernéticos o lesiones notificadas a GE HealthCare debido a estos problemas.

Dispositivo	1. Situación de sensor de flujo	2. Situación de silenciado de la alarma	3. Situación de reloj	4. Situación de peso y edad
Aespire 7100/100/Protiva/Carestation	Sía, versión de software 1.x	Sí	No	No
Aestiva 7100	Síb, versión de software 1.x	Sí	No	No
Aestiva 7900	Síc, versiones de software 1.x, 2.x, 3.x	Sí	No	No
Aestiva MRI	Síd, versión de software 3.x	Sí	No	No
Aespire 7900	No	Sí	No	No
Aespire View	No	Sí	No	No
Aisys, Aisys CS2, Avance, Amingo, Avance CS2	No	Sí	Sí	Sí
Carestation 620/650/650c	No	Sí	Sí	Sí

 

a Dispositivos fabricados antes de octubre de 2010.

b Dispositivos fabricados antes de febrero de 2014.

c Dispositivos fabricados antes de marzo de 2004.

d Dispositivos fabricados antes de julio de 2014.

 

Recomendaciones de seguridad

 

GE HealthCare recomienda a las organizaciones que utilicen servidores de terminales seguros si deciden conectar los puertos serie del dispositivo de anestesia de GE HealthCare a redes TCP/IP. Los servidores de terminales seguros que están configurados correctamente, entregan funciones sólidas de seguridad, entre las que se incluyen cifrado seguro, VPN, autenticación de usuarios, controles de red, registro, capacidad de auditoría y opciones de configuración y administración de dispositivos seguros.

 

GE HealthCare recomienda a las organizaciones que sigan las prácticas recomendadas para servidores de terminales que incluyan medidas de administración, gestión e implementación segura, tales como segmentación de redes, VLAN y aislamiento de dispositivos, con el propósito de mejorar las medidas de seguridad existentes.

 

Si tiene alguna pregunta, comuníquese con su representante local de GE.

 

Para obtener más información de ICS-CERT/CISA, consulte: https://www.us-cert.gov/ics/advisories/icsma-19-190-01

 

Update (Actualizar): Se completaron las evaluaciones iniciales del producto; los clientes de GE HealthCare pueden obtener una vista por producto de las áreas potencialmente afectadas según una evaluación preliminar de aplicabilidad. Actualmente, todos los productos que podrían estar afectados están siendo evaluados de forma más exhaustiva por parte de los equipos internos de GE HealthCare con el fin de determinar las acciones correctivas pertinentes; en un plazo de varios días a varias semanas, los resultados de estas evaluaciones, incluidos los parches validados y las instrucciones de instalación de parches, se actualizarán en el Portal de gestión de vulnerabilidades conforme estén disponibles.

 

Mensaje original: GE HealthCare tiene conocimiento de los informes de Microsoft para usuarios de varias versiones de Windows para aplicar una actualización fundamental de Windows. Microsoft diseñó un parche para una vulnerabilidad de ejecución remota de código crítica en los servicios de escritorio remoto que existe en las siguientes versiones: Versiones de Windows XP, Windows 7 y Windows Server como Windows Server 2003, Windows Server 2008 R2, y Windows Server 2008. Microsoft ha publicado parches específicamente para Windows XP y Windows Server 2003, aunque ambos sistemas operativos ya no cuentan con soporte. Estamos realizando evaluaciones de nuestros productos para determinar cualquier impacto posible. Esta declaración se actualizará a medida que haya más información disponible y notificaremos a los clientes a través de nuestro Portal de gestión de vulnerabilidades (https://securityupdate.gehealthcare.com/) si se sospecha o se tiene conocimiento de algún producto en riesgo.

 

GE HealthCare tiene conocimiento de que un investigador de seguridad descubrió dos vulnerabilidades de seguridad en un puente inalámbrico de Silex que se utiliza como accesorio opcional en algunos productos de ECG de GE HealthCare. Si se aprovechan estas vulnerabilidades, podrían permitir que un agente de amenazas interfiera en las comunicaciones entre el producto y la red del hospital. GE no tiene conocimiento de ninguna explotación de estas vulnerabilidades. Las posibles vías para aprovechar las vulnerabilidades no afectan a las funciones clínicas de los dispositivos afectados. Esta información se hizo pública, el 8 de mayo del 2018, a través de la asesoría “ICSMA-18-128-01 Silex Technology SX-500/SD-320AN or GE HealthCare MobileLink” en el vínculo https://ics-cert.us-cert.gov/advisories/ICSMA-18-128-01.

 

Este accesorio de puente opcional se puede utilizar en los equipos MAC 3500, MAC 5000 (fin de la vida útil en 2012), MAC 5500 y MAC 5500 HD de GE HealthCare. La vulnerabilidad descrita afecta a este accesorio y su función como puente a la red del hospital. Para lograr aprovechar la vulnerabilidad es necesario estar próximo a los dispositivos y no afecta a las funciones clínicas ni a la protección de datos.

 

 Las dos vulnerabilidades y los métodos de mitigación son:

 

1. CVE-2018-6020, GEH-500 versión 1.54 y anterior (integrado en GE MobileLink).  Mitigación: active la cuenta de “actualización” en la interfaz web, ya que no está activada de forma predeterminada. Configure la contraseña secundaria para la cuenta de “actualización” y así evitar cambios no autenticados en la configuración del puente. 
    

1. CVE-2018-6021, GEH-SD-320AN, Versión GEH-1.1 y anterior (integrado en GE MobileLink). Mitigación: la actualización del firmware de Silex ha sido aprobada por GE HealthCare y los clientes pueden descargar la actualización e instrucciones en este enlace: http://silextechnology.com/geh320an/
    

La seguridad de los dispositivos médicos es una de las principales prioridades de GE HealthCare, y seguiremos trabajando con los clientes para entregar una asistencia sanitaria segura.

 

Response Team) sobre dispositivos médicos de GE

 

El Centro de Integración de Comunicaciones y Ciberseguridad Nacional para Sistemas de Control Industrial (NCCIC/ICS-CERT), publicó un documento informativo sobre el uso de credenciales predeterminadas en determinados productos de GE HealthCare. Este documento informativo del NCCIC/ICS-CERT actualiza el contenido de un boletín del US-CERT (United States Computer Emergency Readiness Team) publicado en agosto del 2015, e incluye toda la información sobre las credenciales predeterminadas que se había publicado anteriormente en el boletín del US-CERT del 2015.

 

Contexto

 

En el 2015, un investigador envió información al ICS-CERT sobre el uso de contraseñas predeterminadas o codificadas en determinados productos de GE HealthCare. Estas contraseñas se proporcionaron en los manuales del operador o de mantenimiento disponibles en una biblioteca de recursos de GE HealthCare a la que pueden acceder los clientes a través de Internet y de una copia impresa. Esta información la proporcionó posteriormente el investigador al US-CERT y se publicó en el boletín del US-CERT SB15-222, el 10 de agosto del 2015. Las puntuaciones de riesgo proporcionadas en este boletín no se revisaron con GE HealthCare antes de su publicación y no reflejaron ninguna evaluación técnica de riesgo del producto. Tras la investigación, GE HealthCare determinó que la mayoría de las contraseñas podían modificarse consultando la documentación existente del producto; mientras que algunas contraseñas no ofrecían procesos de cambio en la documentación existente. GE HealthCare reconoce que las prácticas recomendadas actuales de la industria incluyen restricciones y medidas de seguridad sobre el uso de contraseñas y seguirá respondiendo las solicitudes de los clientes para prestar ayuda en el cambio de estas contraseñas.

 

Proceso de evaluación de riesgos de GE HealthCare

 

GE HealthCare evaluó el problema de las contraseñas que plantea el documento informativo del NCCIC/ICS-CERT a través de un proceso de gestión de riesgos establecido que aborda los riesgos de seguridad personal, así como los riesgos generales de seguridad en términos de confidencialidad, integridad y disponibilidad de los activos del dispositivo. La evaluación de riesgos de GE HealthCare concluyó que el riesgo para la seguridad de estos productos se encuentra en un nivel aceptable. Esta conclusión está respaldada por nuestra vigilancia histórica y continua de los productos en uso, así como por las evaluaciones de riesgos de seguridad realizadas durante el proceso de diseño del producto. Todos estos productos han estado sujetos a una vigilancia continua posterior al lanzamiento al mercado de los dispositivos médicos y GE HealthCare no ha observado signos de ningún evento de seguridad adverso ni de ningún evento de seguridad relativo a la confidencialidad, la integridad o la disponibilidad de estos dispositivos debido a un uso incorrecto de estas contraseñas. El diseño de estos productos incluye mitigaciones contra posibles riesgos de seguridad asociados al uso indebido de las contraseñas. GE HealthCare continuará supervisando los productos para detectar eventos que puedan afectar a la seguridad y responderá a la demanda de nuestros clientes de información relacionada con la seguridad de nuestros dispositivos.

 

Descripción general y antecedentes

 

GE HealthCare supervisa de cerca y toma las medidas oportunas para abordar una campaña continua de ransomware conocida como WannaCry, WCry o Wanna Decryptor, dirigida a sistemas basados en Windows a nivel mundial. El ransomware (una forma de malware) denominado WannaCry se propaga a través de campañas de phishing o a través de la vulnerabilidad de Microsoft MS17-010 SMBv1. Cuando WannaCry entra en un dispositivo, cifra los datos del dispositivo y exige un rescate en bitcoines a cambio de liberar los datos y desbloquear el dispositivo.

 

Respuesta inicial de GE HealthCare

 

GE HealthCare activó un equipo de ingeniería, ciberseguridad, servicios y tecnología interdepartamental para llevar a cabo una revisión completa de todos los productos.  Nuestros equipos de todo el mundo supervisan continuamente la situación para garantizar que los clientes y sus equipos de servicios tengan acceso a la información más actualizada disponible en una situación muy dinámica.  

 

Parche de Microsoft

 

Microsoft ha publicado un parche para todas las versiones actualmente admitidas de Microsoft Windows, incluidos Windows Vista, Windows 7, Windows 8.1 y Windows Server 2008 a 2016. Además, desde el ataque, Microsoft ha emitido parches para Windows XP, Windows 8 y Windows Server 2003.  Puede encontrar información adicional sobre el soporte técnico de Microsoft sobre este incidente de seguridad AQUÍ.

 

¿Qué esperar?

 

GE HealthCare se compromete a apoyar a nuestros clientes para que mantengan sus sistemas y productos de manera segura. Si el ransomware afecta a los clientes, o si tienen dudas sobre un producto en particular, se les recomienda que se comuniquen con su representante de servicio de GE o con el Centro de atención telefónica de GE.  Si bien cada cliente tiene circunstancias únicas, en general, para cualquier dispositivo con una versión de Microsoft para el cual Microsoft haya emitido un parche (ver más arriba), es probable que el soporte conste de la instalación de un parche aprobado por Microsoft que el cliente o nuestro equipo de servicios instala.   

 

Estamos creando una guía práctica para el proceso de instalación y distribuimos esta guía a través de los equipos de Servicio de GE HealthCare y del Centro de atención telefónica para que los utilicen al responder a las preguntas de los clientes.

 

GE HealthCare ofrece a los representantes de Servicios actualizaciones continuas de Microsoft y de organismos de la industria para garantizar que los clientes reciban la información más actualizada.  Nos comprometemos a asociarnos con nuestros clientes y otras partes interesadas para implementar sólidas medidas de seguridad del producto con el fin de proteger la integridad de la atención al paciente en todo el mundo.

 

GE HealthCare tiene conocimiento de informes recientes sobre un acontecimiento generalizado de ransomware, conocido como “Petya”, el cual está afectando a entidades de todo el mundo en una amplia variedad de industrias. Según la información disponible actualmente, parece que un método de distribución común del ransomware Petya es el llamado “spear phishing” con un documento malicioso (por ejemplo, un correo electrónico). Al igual que en el reciente evento WannaCry, una vez que el ransomware logra entrar en un sistema, Petya cifra el disco duro y solicita un rescate en bitcoines para desbloquearlo.

 

En este momento, no se espera que esto afecte a los dispositivos de GE HealthCare que ya hayan aplicado el parche para corregir la vulnerabilidad MS17-010 SMBv1 (WannaCry). Sin embargo, los dispositivos en los que aún no se han aplicado a los parches para solucionar MS17-010 SMBv1 siguen siendo vulnerables al ransomware Petya. GE HealthCare recomienda aplicar los parches necesarios lo antes posible. Para obtener más información sobre parches para dispositivos o productos específicos de su inventario, comuníquese con el representante de servicio técnico de GE o el centro de atención al cliente de GE.

 

GE HealthCare continuará supervisando la situación y proporcionará las actualizaciones necesarias.