Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής των ΗΠΑ (CISA) προειδοποιεί ότι οι συσκευές Contec CMS8000, ένα ευρέως χρησιμοποιούμενο monitor παρακολούθησης ασθενών, περιλαμβάνουν ένα backdoor που στέλνει αθόρυβα δεδομένα ασθενών σε μια απομακρυσμένη διεύθυνση IP και κατεβάζει και εκτελεί αρχεία στη συσκευή.
Δείτε επίσης: Πάνω από 4.000 backdoor κατασχέθηκαν μέσω ληγμένων domain

Η Contec είναι μια κορυφαία εταιρεία με έδρα την Κίνα, εξειδικευμένη στην τεχνολογία υγειονομικής περίθαλψης. Προσφέρει μια ευρεία γκάμα ιατρικών συσκευών, όπως συστήματα παρακολούθησης ασθενών, διαγνωστικό εξοπλισμό και εργαστηριακά όργανα, καλύπτοντας τις ανάγκες του σύγχρονου τομέα υγείας.
Η CISA ενημερώθηκε για την κακόβουλη δραστηριότητα από έναν εξωτερικό ερευνητή, ο οποίος αποκάλυψε την ευπάθεια στην υπηρεσία. Κατά τη δοκιμή τριών πακέτων υλικολογισμικού Contec CMS8000, οι ερευνητές της CISA εντόπισαν ασυνήθιστη δικτυακή κίνηση προς μια σκληρά κωδικοποιημένη εξωτερική διεύθυνση IP. Αυτή η διεύθυνση δεν είχε καμία σχέση με την εταιρεία, αλλά συνδέθηκε με ένα πανεπιστήμιο.
Αυτό οδήγησε στην αποκάλυψη ενός backdoor στο firmware της εταιρείας, η οποία θα μπορούσε να κατεβάσει και να εκτελέσει αρχεία στο monitor παρακολούθησης χωρίς την παραμικρή ένδειξη. Αυτή η ευπάθεια επέτρεπε την απομακρυσμένη εκτέλεση εντολών, καθώς και πλήρη πρόσβαση και έλεγχο των συσκευών. Παράλληλα, διαπιστώθηκε ότι η συσκευή μετέδιδε αθόρυβα δεδομένα ασθενών σε μία κωδικοποιημένη διεύθυνση κατά την εκκίνηση των συστημάτων της.
Καμία από αυτές τις ενέργειες δεν καταγράφηκε, επιτρέποντας στην κακόβουλη δραστηριότητα να πραγματοποιείται αθόρυβα, χωρίς να ενημερώνονται οι διαχειριστές των συσκευών.
Δείτε ακόμα: Οι hackers Cloud Atlas χρησιμοποιούν ευπάθεια Microsoft Office για διανομή backdoors
Ενώ η CISA δεν κατονόμασε το πανεπιστήμιο και διέγραψε τη διεύθυνση IP, πληροφορίες λένε ότι σχετίζεται με ένα κινεζικό πανεπιστήμιο. Επιπλέον, η διεύθυνση IP είναι επίσης κωδικοποιημένη σε λογισμικό για άλλο ιατρικό εξοπλισμό, συμπεριλαμβανομένου ενός μόνιτορ εγκυμοσύνης από άλλο κατασκευαστή υγειονομικής περίθαλψης στην Κίνα.

Κατά την ανάλυση του υλικολογισμικού, η CISA διαπίστωσε ότι ένα από τα εκτελέσιμα αρχεία της συσκευής παρακολούθησης, το ‘monitor’, περιέχει ένα backdoor που εκδίδει μια σειρά από εντολές Linux που ενεργοποιούν τον προσαρμογέα δικτύου της συσκευής (eth0) και στη συνέχεια επιχειρεί να προσαρτήσει ένα απομακρυσμένο κοινόχρηστο στοιχείο NFS στην hardcoded διεύθυνση IP που ανήκει στο πανεπιστήμιο.
Επί του παρόντος, δεν υπάρχει διαθέσιμη ενημέρωση κώδικα για συσκευές που αφαιρούν το backdoor και η CISA συνιστά σε όλους τους οργανισμούς υγειονομικής περίθαλψης να αποσυνδέουν αυτές τις συσκευές από το δίκτυο εάν είναι δυνατόν.
Επιπλέον, η υπηρεσία κυβερνοασφάλειας συνιστά στους οργανισμούς να ελέγχουν τα monitor παρακολούθησης Contec CMS8000 για τυχόν σημάδια ύπαρξης backdoor, όπως η εμφάνιση πληροφοριών διαφορετικών από τη φυσική κατάσταση του ασθενούς.
Δείτε επίσης: Οι Κινέζοι hackers Winnti στοχεύουν άλλους hackers με το Glutton backdoor
Τα backdoors είναι κρυφοί τρόποι παράκαμψης του ελέγχου ταυτότητας ή άλλων ασφαλών μηχανισμών σε ένα σύστημα, που επιτρέπουν μη εξουσιοδοτημένη πρόσβαση. Μπορούν να τοποθετηθούν σκόπιμα από προγραμματιστές για εντοπισμό σφαλμάτων ή να εισαχθούν με κακόβουλο τρόπο από εισβολείς για να εκμεταλλευτούν το σύστημα αργότερα. Τα backdoors ενέχουν σημαντικούς κινδύνους για την ασφάλεια, καθώς υπονομεύουν την ακεραιότητα και το απόρρητο του συστήματος, εκθέτοντας δυνητικά ευαίσθητα δεδομένα ή επιτρέποντας περαιτέρω εκμετάλλευση. Ο εντοπισμός και ο μετριασμός των backdoors απαιτεί αυστηρές πρακτικές αναθεώρησης κώδικα, ισχυρές δοκιμές και διατήρηση ενημερωμένων πρωτοκόλλων ασφαλείας.
Πηγή: bleepingcomputer