La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha lanciato un allarme riguardo ai dispositivi CMS8000 di Contec Medical Systems, un'azienda cinese leader nella produzione di apparecchiature mediche, ampiamente utilizzati negli ospedali di tutto il mondo per il monitoraggio dei pazienti. Secondo l'agenzia, questi dispositivi contengono una backdoor, ovvero un accesso nascosto, che invia silenziosamente i dati sensibili dei pazienti a un indirizzo IP remoto e consente il download e l'esecuzione di file sul dispositivo stesso, compromettendone la sicurezza.
La scoperta è stata fatta da un ricercatore esterno che ha segnalato la vulnerabilità alla CISA. L'agenzia ha condotto test su tre pacchetti firmware del Contec CMS8000, rilevando un traffico di rete anomalo verso un indirizzo IP esterno codificato all'interno del firmware. Questo indirizzo non è associato a Contec, bensì a un'università cinese, la cui identità non è stata rivelata dalla CISA.
L'analisi del firmware ha rivelato la presenza di una backdoor all'interno dell'eseguibile "monitor". Questa backdoor esegue una serie di comandi Linux che attivano l'adattatore di rete del dispositivo (eth0) e tentano di montare una condivisione NFS remota all'indirizzo IP dell'università. I file presenti nella condivisione NFS vengono copiati ricorsivamente dal dispositivo, consentendo potenzialmente a terze parti di assumere il controllo remoto dei monitor per pazienti e di alterarne la configurazione. Inoltre, la backdoor invia i dati dei pazienti, tra cui nome del medico, ID del paziente, nome del paziente, data di nascita e altre informazioni sensibili, allo stesso indirizzo IP al momento dell'avvio del dispositivo.
Tutte queste attività malevole vengono condotte in segreto, senza lasciare traccia nei log del dispositivo, rendendo impossibile agli amministratori individuare il problema. L'utilizzo di una porta insolita (515, associata al protocollo LPD) per l'invio dei dati, anziché del protocollo standard HL7 utilizzato per le trasmissioni mediche, rafforza ulteriormente i sospetti sulla natura dolosa della backdoor.
La CISA ha sottolineato che la funzionalità scoperta non è riconducibile a un meccanismo di aggiornamento automatico, come inizialmente ipotizzato, bensì a una backdoor intenzionalmente inserita nel firmware.
"L'analisi del codice del firmware ha portato il team a concludere che è molto improbabile che la funzionalità sia un meccanismo di aggiornamento alternativo", afferma la CISA nel suo comunicato. "Ad esempio, la funzione non fornisce né un meccanismo di controllo dell'integrità né un tracciamento delle versioni degli aggiornamenti. Quando la funzione viene eseguita, i file sul dispositivo vengono sovrascritti forzatamente, impedendo al cliente finale, come un ospedale, di mantenere la consapevolezza del software in esecuzione sul dispositivo. Questi tipi di azioni e la mancanza di dati di log/auditing critici vanno contro le pratiche generalmente accettate e ignorano componenti essenziali per aggiornamenti di sistema gestiti correttamente, specialmente per i dispositivi medici".
Sebbene la CISA non abbia rivelato il nome dell'università coinvolta, è stato accertato che si tratta di un'istituzione cinese. Inoltre, l'indirizzo IP incriminato è stato trovato hard-coded anche nel software di altri dispositivi medici, tra cui un monitor per pazienti in gravidanza prodotto da un altro produttore cinese di apparecchiature sanitarie.
Dopo essere stata contattata dalla CISA, Contec ha fornito diverse immagini del firmware che avrebbero dovuto risolvere il problema. Tuttavia, tutte le versioni inviate continuavano a contenere il codice malevolo. L'azienda ha semplicemente tentato di mitigare la backdoor disabilitando l'adattatore di rete "eth0", una soluzione inefficace in quanto lo script malevolo lo riabilita specificatamente prima di eseguire le sue operazioni.
Al momento, non esiste una patch disponibile che rimuova la backdoor dai dispositivi Contec CMS8000. La CISA raccomanda a tutte le organizzazioni sanitarie di disconnettere questi dispositivi dalla rete, se possibile, e di verificare la presenza di eventuali segni di manomissione, come la visualizzazione di informazioni incoerenti con lo stato fisico del paziente.
Questo incidente solleva gravi preoccupazioni sulla sicurezza dei dispositivi medici e sulla privacy dei dati sanitari. La presenza di una backdoor intenzionalmente inserita nel firmware di un dispositivo ampiamente utilizzato suggerisce la possibilità di una violazione su larga scala dei dati dei pazienti.
La scoperta che l'indirizzo IP malevolo è presente anche in altri dispositivi medici solleva ulteriori interrogativi sull'estensione del problema e sulla potenziale vulnerabilità di altre apparecchiature sanitarie. La mancanza di una soluzione definitiva e la risposta insufficiente da parte di Contec aggravano ulteriormente la situazione, lasciando le organizzazioni sanitarie e i pazienti in una situazione di incertezza e vulnerabilità.
Questo commento è stato nascosto automaticamente. Vuoi comunque leggerlo?