vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
Агентство кибербезопасности и безопасности инфраструктуры США (CISA)
, что устройства Contec CMS8000 для мониторинга пациентов включают бэкдор, который незаметно отправляет данные на удалённый IP-адрес в Китае, а также загружает и выполняет файлы.
Contec — китайская компания, которая специализируется на технологиях здравоохранения и предлагает ряд медицинских устройств, включая системы мониторинга пациентов, диагностическое оборудование и лабораторные приборы.
CISA о бэкдоре от независимого исследователя. Когда агентство протестировало три пакета прошивки Contec CMS8000, его эксперты обнаружили аномальный сетевой трафик на жёстко запрограммированный внешний IP-адрес, который связан не с компанией, а с китайским университетом. Это привело к обнаружению бэкдора в прошивке, который незаметно загружает и выполняет файлы на устройстве. Также было обнаружено, что медмониторы незаметно отправляют данные пациентов на тот же IP-адрес.
В CISA не раскрыли название этого университета и не привели IP-адрес. Однако выяснилось, что он также жёстко закодирован в программном обеспечении для разного медоборудования, включая монитор для наблюдения за беременностью от другого производителя медицинских услуг в Китае.
При анализе прошивки CISA обнаружило, что один из исполняемых файлов устройства, «monitor», содержит бэкдор, который выдаёт ряд команд Linux. Они включают сетевой адаптер устройства (eth0), а затем пытается смонтировать удалённый общий ресурс NFS по жёстко запрограммированному IP-адресу. Ресурс NFS смонтирован в /mnt/, а бэкдор рекурсивно копирует файлы из папки /mnt/ в /opt/bin.
«Хотя каталог /opt/bin не является частью установок Linux по умолчанию, он, тем не менее, считается обычной структурой каталогов. Обычно Linux хранит установки стороннего программного обеспечения в каталоге /opt, а сторонние двоичные файлы — в каталоге /opt/bin. Возможность перезаписи файлов в каталоге /opt/bin обеспечивает мощный ресурс для удалённого захвата устройства или изменения его конфигурации», — пояснили в CISA.
В агентстве не считают, что это функция автоматического обновления. «Проверив код прошивки, команда определила, что эта функциональность вряд ли будет альтернативным механизмом обновления, демонстрируя крайне необычные характеристики, которые не поддерживают реализацию традиционной функции обновления. Например, функция не обеспечивает ни механизма проверки целостности, ни отслеживания версий обновлений. Когда она выполняется, файлы на устройстве принудительно перезаписываются, что не позволяет конечному пользователю, например, больнице, следить за тем, какое программное обеспечение работает на устройстве. Эти типы действий и отсутствие критических данных журнала/аудита противоречат общепринятым практикам и игнорируют важные компоненты для правильно управляемых обновлений системы, особенно для медицинских устройств», — заявили в CISA.
Дополнительно агентство обнаружило, что устройства отправляют данные пациентов на удалённый IP-адрес при запуске. Обычно такая информация передаётся по сети с использованием протокола Health Level 7 (HL7). Однако в данном случае данные отправляли на удалённый IP через порт 515, который обычно связан с протоколом Line Printer Daemon (LPD). Они включали имя врача, идентификатор пациента, его имя, дату рождения и другую информацию.
После обращения в Contec по поводу бэкдора CISA получило несколько образов прошивки, которые, как предполагалось, должны были устранить его. Однако каждый из них содержал вредоносный код, а компания просто отключила сетевой адаптер 'eth0'. Эта мера тоже не помогает, поскольку скрипт специально включает бэкдор с помощью команды ifconfig eth0 up.
Таким образом, пока исправления для затронутых мониторов нет, и CISA рекомендует организациям здравоохранения по возможности отключать эти устройства от сети.
Contec — китайская компания, которая специализируется на технологиях здравоохранения и предлагает ряд медицинских устройств, включая системы мониторинга пациентов, диагностическое оборудование и лабораторные приборы.
CISA о бэкдоре от независимого исследователя. Когда агентство протестировало три пакета прошивки Contec CMS8000, его эксперты обнаружили аномальный сетевой трафик на жёстко запрограммированный внешний IP-адрес, который связан не с компанией, а с китайским университетом. Это привело к обнаружению бэкдора в прошивке, который незаметно загружает и выполняет файлы на устройстве. Также было обнаружено, что медмониторы незаметно отправляют данные пациентов на тот же IP-адрес.
В CISA не раскрыли название этого университета и не привели IP-адрес. Однако выяснилось, что он также жёстко закодирован в программном обеспечении для разного медоборудования, включая монитор для наблюдения за беременностью от другого производителя медицинских услуг в Китае.
При анализе прошивки CISA обнаружило, что один из исполняемых файлов устройства, «monitor», содержит бэкдор, который выдаёт ряд команд Linux. Они включают сетевой адаптер устройства (eth0), а затем пытается смонтировать удалённый общий ресурс NFS по жёстко запрограммированному IP-адресу. Ресурс NFS смонтирован в /mnt/, а бэкдор рекурсивно копирует файлы из папки /mnt/ в /opt/bin.
«Хотя каталог /opt/bin не является частью установок Linux по умолчанию, он, тем не менее, считается обычной структурой каталогов. Обычно Linux хранит установки стороннего программного обеспечения в каталоге /opt, а сторонние двоичные файлы — в каталоге /opt/bin. Возможность перезаписи файлов в каталоге /opt/bin обеспечивает мощный ресурс для удалённого захвата устройства или изменения его конфигурации», — пояснили в CISA.
В агентстве не считают, что это функция автоматического обновления. «Проверив код прошивки, команда определила, что эта функциональность вряд ли будет альтернативным механизмом обновления, демонстрируя крайне необычные характеристики, которые не поддерживают реализацию традиционной функции обновления. Например, функция не обеспечивает ни механизма проверки целостности, ни отслеживания версий обновлений. Когда она выполняется, файлы на устройстве принудительно перезаписываются, что не позволяет конечному пользователю, например, больнице, следить за тем, какое программное обеспечение работает на устройстве. Эти типы действий и отсутствие критических данных журнала/аудита противоречат общепринятым практикам и игнорируют важные компоненты для правильно управляемых обновлений системы, особенно для медицинских устройств», — заявили в CISA.
Дополнительно агентство обнаружило, что устройства отправляют данные пациентов на удалённый IP-адрес при запуске. Обычно такая информация передаётся по сети с использованием протокола Health Level 7 (HL7). Однако в данном случае данные отправляли на удалённый IP через порт 515, который обычно связан с протоколом Line Printer Daemon (LPD). Они включали имя врача, идентификатор пациента, его имя, дату рождения и другую информацию.
После обращения в Contec по поводу бэкдора CISA получило несколько образов прошивки, которые, как предполагалось, должны были устранить его. Однако каждый из них содержал вредоносный код, а компания просто отключила сетевой адаптер 'eth0'. Эта мера тоже не помогает, поскольку скрипт специально включает бэкдор с помощью команды ifconfig eth0 up.
Таким образом, пока исправления для затронутых мониторов нет, и CISA рекомендует организациям здравоохранения по возможности отключать эти устройства от сети.
