Un certain nombre de vulnérabilités dans le logiciel de certains appareils de GE Healthcare qui surveillent les signes vitaux des patients dans les hôpitaux ont été appelées MDHex. Le fait de ne pas envoyer une télémétrie appropriée au personnel qui surveille le patient alors qu’il est sans surveillance pourrait faire passer une complication inaperçue et coûter la vie au patient. Et pourtant, les défaillances logicielles de ces systèmes critiques sont douloureusement ridicules et beaucoup sont liées à des clés intégrées, l’un des péchés les plus graves qui puissent être commis dans la programmation :
- Clés SSH, SMB, VNC intégrées dans les systèmes
- Version du logiciel web avec des vulnérabilités connues
- Possibilité de télécharger des fichiers pour mettre à jour l’appareil.
- Possibilité de contrôler à distance la souris et le clavier.
Un attaquant pourrait se trouver dans le même réseau hospitalier et profiter des défaillances combinées pour prendre le contrôle total du système. Comment est-ce possible dans un logiciel aussi critique ? Ce qui est curieux, c’est qu’historiquement, ce type d’erreurs insignifiantes d’une autre époque est plus fréquent dans des logiciels très spécifiques ou de niche que dans des programmes plus « populaires ». La société promet de régler ce problème au cours du deuxième trimestre. Était-ce une bonne idée de faire connaître ces problèmes dans des logiciels aussi critiques avant d’avoir un correctif ?
Plus d’information:
https://cybersecuritypulse.e-paths.com/index.html?lan=es#24012020