专注于医疗保健安全的网络安全公司Cyber​​MDX的安全研究人员今天披露了有关六个漏洞的技术细节，这些漏洞被统称为MDhex。

该漏洞影响了七台用于患者生命体征监测的GE Healthcare设备。这些设备安装在病床附近，用于收集病患者的数据，并将其发送回遥测服务器，并由临床人员进行监控。根据Cyber​​MDX，受影响的GE Healthcare设备包括：

中央信息中心(CIC)，版本4.x和5.x

CARESCAPE中央站(CSCS)，版本1.x和2.x

CARESCAPE遥测服务器，版本4.3、4.2和更低版本

Apex Pro遥测服务器/塔，版本4.2和更早版本

B450患者监护仪，版本2.x

B650患者监护仪，版本1.x和2.x

B850患者监护仪，版本1.x和2.x

据Cyber​​MDX专家称，MDhex安全漏洞使攻击者可以访问医院的网络来接管易受攻击的病人监护仪和/或遥测汇聚服务器，然后使警报静音，从而使病人生命处于危险之中。

除了Cyber​​MDX通报之外，国土安全部今天还发布了安全通报，旨在警告医疗保健提供者有关MDhex漏洞的信息。

DHS CISA和FDA咨询包含缓解措施，医院和诊所可以部署这些措施来防止攻击者利用该设备。一般建议是将这些设备放置在各自独立的网络上，这些网络未连接到互联网，并且与任何其他医院系统隔离。

2020年第二季度发布的补丁

在撰写本文时，修补程序不可用。GE Healthcare发言人本周在一封电子邮件中告诉ZDNet，该公司计划在2020年第二季度发布软件更新，以解决已报告的MDhex问题。

根据Cyber​​MDX专家的说法，该漏洞的严重程度达到了其严重程度，在CVSSv3严重等级中，六个MDhex错误中有五个获得了十分之十的评分。

但是，GE Healthcare发言人对严重性等级提出了质疑，认为“在正确配置的情况下，应用建议的环境评分修改将使该漏洞的常见漏洞评分系统(CVSS)评分为8.2，而不是10/10。”

医疗保健设备供应商还表示，如果供应商在隔离的网络上正确配置这些设备，则对医院及其患者的危险将大大降低。

自去年以来已通知医院

自去年以来，GE Healthcare就已经知道这些错误，甚至在今天公开披露之前，它一直在通过提前秘密警告医院来减少其影响。

GE发言人告诉ZDNet： “ GE Healthcare从2019年11月12日开始向全球客户发送信函，这提醒用户有关患者监护仪网络的正确配置。”

“我们建议客户确保其网络已正确配置和隔离，以防止出现这些潜在问题并降低风险。”

GE Healthcare表示，它还计划将这些缓解措施发布在其门户网站的安全性部分，以使其广泛可用。

在撰写本文时，供应商表示“尚不知道在临床情况下利用这些漏洞的任何事件”。

这是GE Healthcare在过去一年中处理的第二大漏洞。去年，Cyber​​MDX 在公司的几台麻醉机中发现了安全漏洞。