Schwachstelle in medizinischen Geräten von Hillrom Welch Allyn
(Bild: SOMKID THONGDEE/Shutterstock.com)
Eine Sicherheitslücke mit hohem Risiko findet sich in den Kardiologie-Geräten aus dem Hause Hillrom Welch Allyn. Beliebige Zugriffe aus dem Netz seien möglich.
Medizinische Geräte des Herstellers Hillrom Welch Allyn enthalten Sicherheitslücken, die Angreifern aus dem Netz unbefugten Zugriff erlauben. Die Schwachstelle wird als hohes Risiko eingestuft (CVE-2021-43935, CVSS 8.1). Ein Update steht noch nicht bereit, IT-Verantwortliche müssen aktiv werden.
Die US-amerikanische Cybersicherheitsbehörde CISA erläutert in ihrer Sicherheitsmeldung [1], dass aufgrund einer unsachgemäßen Authentifizierung in den Geräten jedes Konto in einem Active Directory Zugriff auf die Anwendung erhalte, ohne Nutzung eines Passworts. Dazu müsse Single-Sign-On in den Produkten aktiviert sein. Ob das standardmäßig der Fall ist, geht aus der Warnmeldung nicht hervor. Die Geräte des Herstellers, insbesondere die Connex-Reihe, sind auch im deutschen Markt verfügbar.
Gegenmaßnahmen
Die Sicherheitsmeldung listet die betroffenen Produkte auf:
- Welch Allyn Q-Stress Cardiac Stress Testing System: Version 6.0.0 bis 6.3.1
- Welch Allyn X-Scribe Cardiac Stress Testing System: Version 5.01 bis 6.3.1
- Welch Allyn Diagnostic Cardiology Suite: Version 2.1.0
- Welch Allyn Vision Express: Version 6.1.0 bis 6.4.0
- Welch Allyn H-Scribe Holter Analysis System: Version 5.01 bis 6.4.0
- Welch Allyn R-Scribe Resting ECG System: Version 5.01 bis 7.0.0
- Welch Allyn Connex Cardio: Version 1.0.0 bis 1.1.1
Es stehen derzeit noch keine Aktualisierungen bereit. Der Hersteller empfiehlt daher zur temporären Absicherung, das Single-Sign-On in den entsprechenden Einstellungen des Modality Manager zu deaktiveren. Dazu verweist er auf das Handbuch.
Sicherheitslücken in vernetzten medizinischen Geräte stellen eine Gefahr für die Patientensicherheit dar. Kliniken stehen oft im Fokus von Angreifern, etwa um Ransomware einzuschleusen und darüber Geld in Form von Kryptowährungen zu erpressen. Eines der jüngeren Beispiele ist dafür das Klinikum Wolfenbüttel, das Opfer einer Ransomware-Attacke [2] wurde.
[3](dmk [4])
URL dieses Artikels:
https://www.heise.de/-6298044
Links in diesem Artikel:
[1] https://www.cisa.gov/uscert/ics/advisories/icsma-21-343-01
[2] https://www.heise.de/news/Cybercrime-Ransomware-legt-IT-des-Klinikums-Wolfenbuettel-lahm-6140048.html
[3] https://pro.heise.de/security/?LPID=45883_HS1L0001_33064_999_0&wt_mc=intern.fd.secuirtypro.Aktionsende25.disp.disp.disp
[4] mailto:dmk@heise.de
Copyright © 2021 Heise Medien