ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), yaygın olarak kullanılan bir sağlık hasta izleme cihazı olan CONTEC CMS8000 cihazlarının, hasta verilerini sessizce bir uzak IP adresine gönderen ve cihazdaki dosyaları indirip yürüten bir arka kapı içerdiğini uyarıyor.
Contec, hasta izleme sistemleri, teşhis ekipmanı ve laboratuvar enstrümanları da dahil olmak üzere bir dizi tıbbi cihaz sunan sağlık teknolojisi konusunda uzmanlaşmış bir Çin merkezli bir şirkettir.
CISA, ajansa karşı savunmasızlığı açıklayan harici bir araştırmacıdan kötü niyetli davranışları öğrendi. CISA üç ConTEC CMS8000 ürün yazılımı paketini test ettiğinde, araştırmacılar, şirketle değil, bir üniversite ile ilişkili olmayan sabit kodlu harici bir IP adresine anormal ağ trafiğini keşfettiler.
Bu, şirketin ürün yazılımında, cihazda dosyaları sessizce indirip yürütecek, uzaktan yürütülmeye ve hasta monitörlerinin tamamen devralınmasına izin veren bir arka kapının keşfine yol açtı. Cihazların başlatıldığında aynı sabit kodlu adrese hasta verilerini sessizce göndereceği de keşfedildi.
Bu etkinliğin hiçbiri günlüğe kaydedilmemiştir, bu da kötü amaçlı etkinliğin cihazların yöneticilerini uyarmadan gizlice yapılmasına neden olmuştur.
CISA üniversiteyi adlandırmamış ve IP adresini düzeltmiş olsa da, BleepingComputer bunun bir Çin üniversitesiyle ilişkili olduğunu öğrendi. Ayrıca, IP adresi, Çin’deki başka bir sağlık üreticisinin hamilelik hasta monitörü de dahil olmak üzere diğer tıbbi ekipmanlar için yazılımlarda da sabit kodlanmıştır.
Arka kapı
Ürün yazılımını analiz ederken CISA, cihazın yürütülebilir ürünlerinden birinin olduğunu buldu, ‘monitor‘Cihazın ağ adaptörünü (ETH0) etkinleştiren ve daha sonra üniversiteye ait sabit kodlu IP adresine uzak bir NFS payı monte etmeye çalışan bir dizi Linux komutu yayınlayan bir arka kapı içerir.
NFS payı / MNT / adresine monte edilir ve arka kapı, dosyaları tekrarlayan dosyalardan koparır. /mnt/ klasör /opt/bin dosya.
Kaynak: Cisa
Arka kapı, /opt /bin’den /opt klasörüne dosyaları kopyalamaya devam edecektir ve bittiğinde uzak NFS payını kaldırmaya devam edecektir.
CISA’nın danışmanlığı, ” /Opt /bin dizini varsayılan Linux kurulumlarının bir parçası olmasa da, yine de ortak bir Linux dizin yapısıdır.”
“Genel olarak, Linux /opt /bin dizindeki /opt dizin ve üçüncü taraftaki ikili dosyalarda üçüncü taraf yazılım yüklemelerini depolar. /Opt /bin dizin içindeki dosyaların üzerine yazma yeteneği, cihazı uzaktan ele geçirmek ve uzaktan almak için güçlü bir ilkel sağlar. cihaz yapılandırmasını değiştirme. “
“Ayrıca, sembolik bağlantıların kullanımı, cihaz dosya sisteminin herhangi bir yerinde üzerine dosyaların üzerine yazmak için bir ilkel sağlayabilir. Yürütüldüğünde, bu işlev, sabit kodlu IP adresinde çalışan bir üçüncü tarafın potansiyel olarak tam kontrolünü ele geçirmesine izin veren zorlu bir ilkel sunar. cihaz uzaktan. “
CISA, bu dosyaların cihazda ne yaptığını paylaşmasa da, cihazlar ve sabit kodlu IP adresi arasında hiçbir iletişim almadıklarını, sadece ona bağlanma girişimlerini almadıklarını söylediler.
CISA, ürün yazılımını inceledikten sonra bunun otomatik bir güncelleme özelliği olduğuna değil, cihazın ürün yazılımına dikilen bir arka kapıdan ziyade inanmadıklarını söylüyor.
“Ekip, ürün yazılımı kodunu inceleyerek, işlevselliğin, geleneksel bir güncelleme özelliğinin uygulanmasını desteklemeyen son derece sıra dışı özellikler sergileyen alternatif bir güncelleme mekanizması olmanın pek olası olmadığını belirledi. Örneğin, işlev ne bir bütünlük değişim mekanizması ne de sunmaz. Güncellemelerin sürüm takibi. Cihazdaki dosyalar zorla yazılır ve bu tür bir yazılımın çalıştığı konusunda farkındalıktan korunmaktadır. Günlük/denetim verileri, genel kabul görmüş uygulamalara aykırı olarak gider ve özellikle tıbbi cihazlar için uygun şekilde yönetilen sistem güncellemeleri için temel bileşenleri yok sayar. “
❖ Cisa
Bunun tasarım yoluyla bir arka kapı olmasına daha fazla borç veren CISA, cihazların cihazların başladığı uzak IP adresine hasta verilerini göndermeye başladığını buldu.
CISA, hasta verilerinin tipik olarak sağlık seviye 7 (HL7) protokolü kullanılarak bir ağ boyunca iletildiğini söylüyor. Bununla birlikte, bu cihazlar verileri genellikle çizgi yazıcı arka plan programı (LPD) protokolü ile ilişkili olan 515 bağlantı noktası üzerinden uzak IP’ye gönderdi.
Aktarılan veriler doktorun adı, hasta kimliği, hastanın adı, hastanın doğum tarihi ve diğer bilgileri içerir.
Kaynak: Cisa
Arka kapı hakkında Contec ile temasa geçtikten sonra, CISA’ya arka kapıyı azaltması gereken birden fazla ürün yazılımı görüntüsü gönderildi.
Ancak, her biri kötü amaçlı kodu içermeye devam etti, şirket arka kapıyı azaltmak için ‘Eth0’ ağ adaptörünü devre dışı bıraktı. Ancak, bu hafifletme, komut dosyası özellikle ifconfig eth0 up Uzak NFS payını monte etmeden veya hasta verilerini göndermeden önce komut.
Şu anda, arka kapıyı kaldıran cihazlar için mevcut bir yama yoktur ve CISA, tüm sağlık kuruluşlarının bu cihazları mümkünse ağdan ayırmasını önermektedir.
Ayrıca, Siber Güvenlik Ajansı, kuruluşların CONTEC CMS8000 hasta monitörlerini, bir hastanın fiziksel durumundan farklı bilgiler görüntüleme gibi herhangi bir kurcalama belirtisi için kontrol etmelerini önerir.
BleepingComputer, Contec’e ürün yazılımı hakkında sorularla temasa geçti ve bir yanıt alırsak hikayeyi güncelleyecek.