Trovata una backdoor in due dispositivi cinesi per il monitoraggio dei pazienti

Pochi giorni fa la CISA ha pubblicato un avviso di sicurezza in cui informa che due dispositivi della serie Contec CMS8000, un sistema di monitoraggio dei pazienti, contengono una backdoor legata a un indirizzo IP cinese. Oltre alla backdoor, l’Agenzia statunitense ha trovato anche una funzionalità specifica per la raccolta dei dati sanitari del paziente.

“La CISA ritiene che l’inclusione di questa backdoor nel firmware del monitor possa creare condizioni tali da consentire l’esecuzione di codice in remoto e la modifica del dispositivo con la possibilità di alterarne la configurazione. Ciò comporta un rischio per la sicurezza del paziente, in quanto un monitor malfunzionante potrebbe portare a risposte improprie ai segni vitali visualizzati dal dispositivo” si legge nell’avviso.

I dispositivi della serie Contec CMS8000 vengono prodotti in Cina e utilizzati globalmente negli ospedali e nei centri sanitari. I device sono in grado di monitorare l’attività cardiaca, i livelli di saturazione di ossigeno nel sangue, la pressione del sangue, la temperatura e il respiro di un paziente.

La CISA ha analizzato la versione 2.0.6, un’immagine pre-release della 2.0.8 e un’altra pre-release senza numero di versione scoprendo che sono tutte e tre afflitte dalla backdoor; questa, oltre a raccogliere i dati dei pazienti, consente di scaricare ed eseguire sul dispositivo file da remoto. L’indirizzo IP, trovato hard-coded nel codice della backdoor, non è associato ad alcun costruttore di dispositivi medici o a centri sanitari, bensì a un’università.

Il team dell’Agenzia ha subito compreso che il codice individuato non era un meccanismo di aggiornamento: la funzione infatti non prevede alcun controllo di integrità, né di tracking degli update; inoltre, quando viene eseguito, il codice sovrascrive i file presenti sul dispositivo per fare in modo che gli utenti non si accorgano del software in esecuzione.

La CISA ha creato una rete simulata, un finto profilo di un paziente e ha collegato diversi device di monitoraggio ai Contec CMS8000. Dopo la routine di startup, il sistema si è collegato subito all’indirizzo IP specificato nel codice (in questo caso modificato dai ricercatori) e ha cominciato a inviare i dati raccolti dalla sensoristica. 

Al momento non ci sono patch disponibili per il dispositivo. La CISA consiglia alle organizzazioni sanitarie di tutto il mondo di disconnettere i device dalla rete, se possibile, e comunque di verificare l’eventuale presenza di qualsiasi anomalia, come una differenza tra lo stato fisico del paziente e i valori mostrati su schermo.