L’équipe de recherche de CyberMDX a découvert ces vulnérabilités, collectivement dénommées « MDhex », en enquêtant sur l’utilisation de versions obsolètes de Webmin et les configurations de port potentiellement problématiques dans le poste de travail CARESCAPE CIC Pro de GE. L’enquête a finalement révélé six failles de conception différentes, toutes constituant de très graves vulnérabilités de sécurité présentes dans ApexPro, les systèmes de Centrale d’information clinique (CIC) et les moniteurs de patients CARESCAPE de GE. Cinq des vulnérabilités ont reçu des valeurs CVSS (v3.1) de 10, tandis que la dernière vulnérabilité a obtenu un score de 8,5 sur l’échelle de 1 à 10 du National Infrastructure Advisory Council (NIAC) pour l’évaluation de la gravité des vulnérabilités des systèmes informatiques.

Lancée en 2007, la gamme de produits CARESCAPE est extrêmement populaire et a été adoptée par des hôpitaux du monde entier. Parmi les produits concernés figurent certaines versions de la Centrale d’information clinique (CIC) de CARESCAPE, la tour/le serveur de télémétrie Apex, la station centrale (CSCS), le serveur de télémétrie, le moniteur de patient B450, le moniteur de patient B650 et le moniteur de patient B850. Bien que GE ait refusé de communiquer le nombre précis d’appareils affectés utilisés à l’échelle mondiale, on estime que la base installée se situe dans les centaines de milliers.

Cette série de six vulnérabilités a été signalée pour la première fois le 18 septembre 2019. Au cours des mois suivants, CyberMDX, GE et la CISA ont collaboré pour confirmer les vulnérabilités, vérifier leurs détails techniques, évaluer les risques associés et travailler sur le processus de divulgation responsable. Aujourd’hui, ces efforts ont débouché sur la publication par la CISA d’un avis officiel - ICSMA-120-023-01.

Elad Luz, directeur de la recherche chez CyberMDX, a commenté : « Notre objectif est d’informer les prestataires de soins de santé de ces problèmes afin qu’ils puissent être rapidement résolus, contribuant ainsi à des hôpitaux plus sûrs et plus sécurisés. Ainsi, chaque divulgation constitue un autre pas dans la bonne direction. La rapidité, la réactivité et le sérieux avec lesquels GE a traité cette question sont très encourageants. Dans le même temps, il reste du travail à faire et nous sommes impatients de voir GE déployer des correctifs de sécurité pour ces appareils vitaux. »

Chacune des six vulnérabilités est fondée sur un aspect différent de la conception et de la configuration des dispositifs. Par exemple, l’une des vulnérabilités concerne l’exposition de clés privées permettant des tentatives d’attaques SSH, tandis qu’une autre permet des connexions SMB douteuses en raison de justificatifs d’identité codés matériellement dans le système d’exploitation Windows XP Embedded (XPe). L’élément commun aux vulnérabilités MDhex, au-delà des dispositifs qu’ils affectent et de leur point de découverte partagé, est qu’elles présentent toutes un chemin direct pour mettre en danger l’appareil, que ce soit au moyen de capacités de contrôle, de lecture, d’écriture ou de téléchargement illicites. Si elle est exploitée, cette vulnérabilité pourrait avoir un impact direct sur la confidentialité, l’intégrité et la disponibilité des dispositifs.

La découverte de ces vulnérabilités est la dernière d’une liste toujours plus longue d’exemples soulignant la nécessité pour toutes les parties prenantes dans le secteur des dispositifs médicaux de redoubler de vigilance dans la protection de la sécurité des patients — en améliorant la sécurité et la résilience des dispositifs médicaux, à la fois avant et après leur commercialisation.