專注于醫療保健安全的網絡安全公司Cyber??MDX的安全研究人員今天披露了有關六個漏洞的技術細節，這些漏洞被統稱為MDhex。

該漏洞影響了七臺用于患者生命體征監測的GE Healthcare設備。這些設備安裝在病床附近，用于收集病患者的數據，并將其發送回遙測服務器，并由臨床人員進行監控。根據Cyber??MDX，受影響的GE Healthcare設備包括：

中央信息中心(CIC)，版本4.x和5.x

CARESCAPE中央站(CSCS)，版本1.x和2.x

CARESCAPE遙測服務器，版本4.3、4.2和更低版本

Apex Pro遙測服務器/塔，版本4.2和更早版本

B450患者監護儀，版本2.x

B650患者監護儀，版本1.x和2.x

B850患者監護儀，版本1.x和2.x

據Cyber??MDX專家稱，MDhex安全漏洞使攻擊者可以訪問醫院的網絡來接管易受攻擊的病人監護儀和/或遙測匯聚服務器，然后使警報靜音，從而使病人生命處于危險之中。

除了Cyber??MDX通報之外，國土安全部今天還發布了安全通報，旨在警告醫療保健提供者有關MDhex漏洞的信息。

DHS CISA和FDA咨詢包含緩解措施，醫院和診所可以部署這些措施來防止攻擊者利用該設備。一般建議是將這些設備放置在各自獨立的網絡上，這些網絡未連接到互聯網，并且與任何其他醫院系統隔離。

2020年第二季度發布的補丁

在撰寫本文時，修補程序不可用。GE Healthcare發言人本周在一封電子郵件中告訴ZDNet，該公司計劃在2020年第二季度發布軟件更新，以解決已報告的MDhex問題。

根據Cyber??MDX專家的說法，該漏洞的嚴重程度達到了其嚴重程度，在CVSSv3嚴重等級中，六個MDhex錯誤中有五個獲得了十分之十的評分。

但是，GE Healthcare發言人對嚴重性等級提出了質疑，認為“在正確配置的情況下，應用建議的環境評分修改將使該漏洞的常見漏洞評分系統(CVSS)評分為8.2，而不是10/10。”

醫療保健設備供應商還表示，如果供應商在隔離的網絡上正確配置這些設備，則對醫院及其患者的危險將大大降低。

自去年以來已通知醫院

自去年以來，GE Healthcare就已經知道這些錯誤，甚至在今天公開披露之前，它一直在通過提前秘密警告醫院來減少其影響。

GE發言人告訴ZDNet： “ GE Healthcare從2019年11月12日開始向全球客戶發送信函，這提醒用戶有關患者監護儀網絡的正確配置。”

“我們建議客戶確保其網絡已正確配置和隔離，以防止出現這些潛在問題并降低風險。”

GE Healthcare表示，它還計劃將這些緩解措施發布在其門戶網站的安全性部分，以使其廣泛可用。

在撰寫本文時，供應商表示“尚不知道在臨床情況下利用這些漏洞的任何事件”。

這是GE Healthcare在過去一年中處理的第二大漏洞。去年，Cyber??MDX 在公司的幾臺麻醉機中發現了安全漏洞。