W popularnym sprzęcie medycznym wykryto chińskiego backdoora. Pilne zalecenie dla szpitali

Wykryto poważną lukę bezpieczeństwa w urządzeniu medycznym stosowanym w placówkach szpitalnych na całym świecie. Okazuje się, że monitor pacjenta Contec CMS8000 (znany również jako Epsimed MN-120) posiada tylne wejście (tzw. backdoor), umożliwiające osobom nieautoryzowanym zdalne sterowanie urządzeniem oraz manipulację jego działaniem.

Zagrożenie dotyczy trzech wersji oprogramowania sprzętowego urządzenia, które służy do monitorowania podstawowych parametrów życiowych pacjentów, takich jak tętno czy ciśnienie krwi. Alarm podniosła amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), która przeprowadziła szczegółowe analizy potwierdzające istnienie poważnego ryzyka.

Podejrzane połączenia zewnętrzne

W toku badań stwierdzono, że sprzęt, wyprodukowany przez chińską firmę Contec Medical Systems, w niewyjaśnionych okolicznościach został skonfigurowany do łączenia się z adresem IP należącym do nienazwanego uniwersytetu. Co istotne, to zewnętrzne połączenie nie miało żadnego związku z producentem urządzenia.

Według raportu CISA, odkryty backdoor pozwala adresowi IP uniwersytetu na pobieranie oraz uruchamianie niezweryfikowanych plików na urządzeniu, potencjalnie mogąc doprowadzić do poważnegi zagrożenia dla zdrowia pacjentów. Co więcej, monitor automatycznie przesyła dane pacjentów, w tym ich dane osobowe (PII) oraz poufne informacje o stanie zdrowia (PHI), poza środowisko medyczne i jest to  rażące naruszenie zasad ochrony prywatności i tajemnicy lekarskiej.

Tajemnicza rola uniwersytetu

Do tej pory nie podano nazwy uczelni, do której kierowane były dane pacjentów. Wiadomo jednak, że uniwersytet nie jest w żaden sposób powiązany z producentem, a przynajmniej nie oficjalnie. Jak ujawniono, informacja o luce została przekazana CISA przez anonimowego eksperta ds. cyberbezpieczeństwa. Po otrzymaniu sygnału, agencja przetestowała trzy wersje oprogramowania, zauważając nietypowy ruch sieciowy wskazujący na możliwość przesyłania danych poza placówki medyczne. Ostateczne analizy wykazały, że tylne wejście nie służyło do autoryzowanych aktualizacji systemu, lecz było metodą na przejęcie kontroli nad urządzeniem.

„Gdy funkcja jest wykonywana, pliki na urządzeniu są nadpisywane w sposób wymuszony, uniemożliwiając użytkownikowi końcowemu – w tym przypadku szpitalowi – śledzenie, jakie oprogramowanie faktycznie działa na urządzeniu” – ostrzega CISA w swoim raporcie.

Producent milczy

Firma Contec Medical Systems nie udzieliła oficjalnej odpowiedzi na zapytania mediów. Jednak według ustaleń CISA, to właśnie Contec dostarczył wersje oprogramowania sprzętowego do analizy po wykryciu zagrożenia.

W obliczu zagrożenia federalne agencje doradzają dostawcom usług medycznych natychmiastowe działania mające na celu zabezpieczenie urządzeń. Zaleca się całkowite odłączenie monitorów od Internetu poprzez odpięcie kabli Ethernet oraz wyłączenie funkcji łączności bezprzewodowej, takich jak Wi-Fi i połączenia komórkowe. W przeciwnym razie zalecane jest całkowite zaprzestanie używania monitorów pacjenta Contec CMS8000.

W swoim komunikacie Agencja Żywności i Leków (FDA) uspokaja, że na chwilę obecną nie odnotowano żadnych przypadków incydentów związanych z cyberatakami, które skutkowałyby uszczerbkiem na zdrowiu pacjentów. Niemniej jednak eksperci ostrzegają, że każda luka w medycznych systemach elektronicznych stanowi potencjalne zagrożenie dla życia i zdrowia pacjentów, dlatego incydent wymaga pilnego rozwiązania.