La fonctionnalité dans le firmware de l’appareil envoie des données de patients à une adresse IP codée en dur qui télécharge et exécute également des fichiers binaires à l’insu du propriétaire.
Les agences fédérales américaines ont averti qu’un dispositif de moniteur de patient populaire de fabrication chinoise utilisé dans les milieux médicaux aux États-Unis et en Europe possède une porte dérobée intégrée qui divulgue les données des patients à un serveur distant non autorisé. La porte dérobée, présente également dans une version rebaptisée de l’appareil, permet également au serveur distant, qui semble appartenir à une université, d’exécuter du code non autorisé sur l’appareil.
Selon un avis de sécurité de la US Food and Drug Administration (FDA), qui autorise les dispositifs médicaux à utiliser aux États-Unis, les moniteurs du patient affectés sont le Contec CMS8000 et le MN-120 EPSIMED, une version relaxante du dispositif Contec. Les dispositifs sont utilisés pour surveiller les signes vitaux des patients, notamment l’électrocardiogramme, la fréquence cardiaque, la saturation en oxygène sanguin, la pression artérielle non invasive, la température et la vitesse de respiration.
Contec Medical Systems est l’un des plus grands fabricants de dispositifs médicaux chinois ayant un siège social à Qinhuangdao et des filiales à Chicago, Dusseldorf et New Delhi. En plus des moniteurs de patients, l’entreprise produit une large gamme de produits médicaux, tels que les pompes, les systèmes d’échographie, les endoscopes, les aides respiratoires, les systèmes EEG et EMG, les dispositifs de diagnostic, etc.
L’analyse CISA révèle une fonctionnalité de porte dérobée
La porte dérobée a été découverte par l’Agence américaine de sécurité de cybersécurité et d’infrastructure (CISA) après avoir reçu un rapport sur une vulnérabilité dans Contec CMS8000 d’un chercheur externe.
En examinant le rapport de vulnérabilité, les chercheurs de la CISA ont analysé le firmware de l’appareil, qui a conduit à la découverte de fonctionnalités suspectes dans le code du firmware qui a contacté une adresse IP à code dur. Cette adresse IP n’était pas enregistrée auprès du fabricant d’appareils ou d’une installation médicale; Au lieu de cela, il semble appartenir à une université tierce. CISA n’a pas divulgué l’adresse IP ni le nom de l’université dans son rapport.
L’équipe CISA a découvert qu’un binaire appelé monitor
expédié avec le micrologiciel basé sur Linux de l’appareil, avait des fonctions qui ont d’abord permis l’interface réseau ETH0 sur l’appareil, puis ont tenté de monter un répertoire distant à partir de l’adresse IP codée en dur sur le protocole NFS.
Le dossier distant est monté localement comme un répertoire appelé /mnt
après quoi l’application vérifie si un fichier appelé monitor
est présent dans le répertoire. Si le fichier existe, une autre commande est émise pour copier tous les fichiers du répertoire vers le local /opt/bin
Le répertoire, l’écrasement de tous les fichiers avec le même nom y sont déjà présents. Une autre commande est ensuite émise pour copier un fichier appelé /opt/bin/start
à /opt/startmonitor
puis copier d’autres fichiers dans d’autres emplacements du système de fichiers.
« En examinant le code du firmware, l’équipe a déterminé que la fonctionnalité est très peu susceptible d’être un mécanisme de mise à jour alternatif, présentant des caractéristiques très inhabituelles qui ne soutiennent pas la mise en œuvre d’une fonction de mise à jour traditionnelle », a déclaré CISA dans son rapport d’analyse. «Par exemple, la fonction ne fournit ni un mécanisme de vérification de l’intégrité ni le suivi de la version des mises à jour. Lorsque la fonction est exécutée, les fichiers sur l’appareil sont écrasés de force, empêchant le client final – comme un hôpital – de maintenir la prise de conscience de ce que le logiciel s’exécute sur l’appareil. »
En plus de ce comportement d’exécution du code à distance caché, CISA a également constaté qu’une fois que le CMS8000 terminait sa routine de démarrage, il se connecte également à cette même adresse IP sur le port 515, qui est normalement associé au démon de l’imprimante de ligne (LPD) et commence à transmettre la transmission Informations sur les patients à l’insu du propriétaire de l’appareil.
« L’équipe de recherche a créé un réseau simulé, créé un faux profil de patient et connecté une coiffure de la pression artérielle, un moniteur SPO2 et un moniteur ECG au moniteur du patient », a déclaré l’agence. «Au démarrage, le moniteur du patient a été connecté avec succès à l’adresse IP simulée et a immédiatement commencé à diffuser les données des patients à l’adresse.»
Après avoir contacté le vendeur au sujet de la question, CISA a d’abord reçu une image de firmware répartie supposée pour validation en novembre, puis une autre en décembre. Dans la dernière version du firmware, 2.0.8, le fournisseur a supprimé la ligne qui a permis à l’interface ETH0 des scripts de démarrage du système d’exploitation mais a laissé le code de porte dérobée à l’intérieur du monitor
binaire.
Cette stratégie n’atténuait pas la vulnérabilité, car le code de porte dérobée réoriense explicitement ETH0 avant qu’il monte le répertoire distant, a déclaré CISA.
Atténuation
Parce qu’il n’y a pas de patch disponible, la FDA recommande de désactiver toutes les fonctions de surveillance à distance en débranchant son câble Ethernet et en désactivant les connexions Wi-Fi ou cellulaires si elles sont utilisées. Cela affecte les deux patients qui utilisent des dispositifs affectés dans un cadre à domicile et les prestataires de santé qui utilisent les appareils CMS8000 ou EPSIMED MN-120 dans leurs installations.
De plus, la FDA recommande que l’appareil soit utilisé uniquement pour la surveillance locale en personne. Si une surveillance à distance par un fournisseur de soins de santé est nécessaire, un autre dispositif de surveillance des patients d’un autre fabricant doit être utilisé.
Voir aussi:
- 6 plus grandes menaces de sécurité des soins de santé
- Les vulnérabilités de séquenceur d’ADN signalent les problèmes de firmware dans l’industrie des dispositifs médicaux