L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) avertit que les appareils Contec CMS8000, un appareil de surveillance des patients de soins de santé largement utilisé, incluent une porte dérobée qui envoie silencieusement les données des patients à une adresse IP distante et télécharge et exécute des fichiers sur l’appareil.
Contec est une société basée en Chine spécialisée dans les technologies de la santé, proposant une gamme de dispositifs médicaux, notamment des systèmes de surveillance des patients, des équipements de diagnostic et des instruments de laboratoire.
CISA a appris le comportement malveillant d’un chercheur externe qui a divulgué la vulnérabilité à l’agence. Lorsque CISA a testé trois progiciels Contec CMS8000, les chercheurs ont découvert un trafic réseau anormal vers une adresse IP externe codée en dur, qui n’est pas associée à l’entreprise mais plutôt à une université.
Cela a conduit à la découverte d’une porte dérobée dans le micrologiciel de l’entreprise qui téléchargerait et exécuterait discrètement des fichiers sur l’appareil, permettant une exécution à distance et la prise en charge complète des moniteurs patients. Il a également été découvert que l’appareil envoyait silencieusement les données des patients à la même adresse codée en dur lorsque les appareils étaient démarrés.
Aucune de ces activités n’a été enregistrée, ce qui a entraîné la conduite secrète de l’activité malveillante sans alerter les administrateurs des appareils.
Bien que CISA n’ait pas nommé l’université et expurgé l’adresse IP, Breachtrace a appris qu’elle était associée à une université chinoise. L’adresse IP est également codée en dur dans un logiciel pour d’autres équipements médicaux, y compris un moniteur de grossesse d’un autre fabricant chinois de produits de santé.
Un avis de la FDA concernant la porte dérobée a également confirmé qu’elle était également présente dans les moniteurs patients Epsimed MN-120, qui sont des appareils Contec CMS8000 réétiquetés.
La porte dérobée
En analysant le micrologiciel, CISA a découvert que l’un des exécutables de l’appareil, « monitor », contient une porte dérobée qui émet une série de commandes Linux qui activent la carte réseau de l’appareil (eth0), puis tente de monter un partage NFS distant à l’adresse IP codée en dur appartenant à l’université.
Le partage NFS est monté dans /mnt/ et la porte dérobée copie récursivement les fichiers du dossier /mnt/ vers le dossier /opt/bin.
La porte dérobée continuera à copier les fichiers de / opt / bin vers le dossier /opt et, une fois terminé, démontera le partage NFS distant.
« Bien que le répertoire / opt / bin ne fasse pas partie des installations Linux par défaut, il s’agit néanmoins d’une structure de répertoire Linux courante », explique l’avis de CISA.
« Généralement, Linux stocke les installations de logiciels tiers dans le répertoire /opt et les binaires tiers dans le répertoire /opt/bin. La possibilité d’écraser des fichiers dans le répertoire /opt/bin fournit une primitive puissante pour prendre à distance le contrôle de l’appareil et modifier à distance la configuration de l’appareil. »
« De plus, l’utilisation de liens symboliques pourrait fournir une primitive pour écraser les fichiers n’importe où sur le système de fichiers de l’appareil. Lorsqu’elle est exécutée, cette fonction offre une formidable primitive permettant à un tiers opérant à l’adresse IP codée en dur de potentiellement prendre le contrôle total de l’appareil à distance. »
Bien que CISA n’ait pas partagé les performances de ces fichiers sur l’appareil, ils ont déclaré n’avoir détecté aucune communication entre les appareils et l’adresse IP codée en dur, uniquement les tentatives de connexion à celle-ci.
CISA dit qu’après avoir examiné le micrologiciel, ils ne pensent pas qu’il s’agit d’une fonctionnalité de mise à jour automatique, mais plutôt d’une porte dérobée implantée dans le micrologiciel de l’appareil.
« En examinant le code du micrologiciel, l’équipe a déterminé qu’il est très peu probable que la fonctionnalité soit un mécanisme de mise à jour alternatif, présentant des caractéristiques très inhabituelles qui ne prennent pas en charge la mise en œuvre d’une fonctionnalité de mise à jour traditionnelle. Par exemple, la fonction ne fournit ni mécanisme de vérification de l’intégrité ni suivi des versions des mises à jour. Lorsque la fonction est exécutée, les fichiers sur l’appareil sont écrasés de force, empêchant le client final, tel qu’un hôpital, de savoir quel logiciel s’exécute sur l’appareil. Ces types d’actions et le manque de données critiques de journalisation/d’audit vont à l’encontre des pratiques généralement acceptées et ignorent les composants essentiels pour des mises à jour système correctement gérées, en particulier pour les dispositifs médicaux. »
❖ CISA
En outre, comme il s’agit d’une porte dérobée de par sa conception, CISA a constaté que les appareils commençaient également à envoyer des données sur les patients à l’adresse IP distante au démarrage des appareils.
CISA indique que les données des patients sont généralement transmises sur un réseau à l’aide du protocole HL7 (Health Level 7). Cependant, ces périphériques envoyaient les données à l’adresse IP distante via le port 515, qui est généralement associé au protocole Line Printer Daemon (LPD).
Les données transmises comprennent le nom du médecin, l’identifiant du patient, le nom du patient, la date de naissance du patient et d’autres informations.
Après avoir contacté Contec au sujet de la porte dérobée, CISA a reçu plusieurs images du micrologiciel censées avoir atténué la porte dérobée.
Cependant, chacun a continué à contenir le code malveillant, l’entreprise désactivant simplement l’adaptateur réseau « eth0 » pour atténuer la porte dérobée. Cependant, cette atténuation n’aide pas car le script l’active spécifiquement à l’aide de la commande ifconfig eth0 up avant de monter le partage NFS distant ou d’envoyer des données patient.
Actuellement, il n’y a pas de correctif disponible pour les appareils qui supprime la porte dérobée, et l’ICCA recommande à tous les organismes de soins de santé de déconnecter ces appareils du réseau si possible.
De plus, la cyber security agency recommande aux organisations de vérifier leurs moniteurs patients Contec CMS8000 pour détecter tout signe de falsification, tel que l’affichage d’informations différentes de l’état physique d’un patient.
Breachtrace a contacté Contact avec des questions sur le firmware et mettra à jour l’histoire si nous recevons une réponse.