Уязвимость в проприетарном программном обеспечении GE Healthcare для управления медицинскими устройствами визуализации может поставить под угрозу конфиденциальность здоровья пациентов и, возможно, их жизнь. Проблема получила название MDHexRay (CVE-2020-25179) и оценку в 9,8 балла из 10 по шкале CVSS. Она затрагивает более 100 моделей аппаратов КТ, МРТ и рентгеновских аппаратов в десятке линеек продуктов компании. Программное обеспечение GE для управления работает поверх операционной системы на базе Unix, установленной в медицинских системах визуализации, чтобы обеспечить удаленное обслуживание и процедуры обновления. Компания CyberMDX, занимающаяся кибербезопасностью в сфере здравоохранения, обнаружила уязвимость. MDHexRay связана с использованием встроенных учетных данных при каждой установке ПО для аутентификации на серверах GE для задач обновления и обслуживания. Изменение данных аутентификации возможно только со стороны производителя, когда клиенты запрашивают их через систему поддержки GE Healthcare. Пока учетные данные не будут изменены производителем оборудования, учреждения с уязвимыми устройствами должны следовать рекомендациям по управлению сетью (политикам доступа) и безопасности. CyberMDX рекомендует ограничить следующие порты до состояния прослушивания: FTP (порт 21), SSH (порт 22), Telnet (порт 23), REXEC (порт 512). По словам экспертов, эксплуатировать MDHexRay довольно просто. Использование возможно из внутренней сети больницы или клиники и дает злоумышленнику доступ для чтения и записи на уязвимом устройстве. Преступник может получить доступ к личной информации о здоровье, и даже манипулировать данными, тем самым влияя на результаты определенной терапии. Также существует возможность вызвать атаку типа «отказа в обслуживании».