A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) está emitindo um alerta sobre dispositivos Contec CMS8000, um equipamento de monitoramento de pacientes amplamente utilizado na área da saúde, que inclui uma backdoor capaz de enviar silenciosamente dados dos pacientes para um endereço IP remoto e baixar e executar arquivos no dispositivo.
A Contec é uma empresa sediada na China que se especializa em tecnologia da saúde, oferecendo uma variedade de dispositivos médicos, incluindo sistemas de monitoramento de pacientes, equipamentos de diagnóstico e instrumentos laboratoriais.
A CISA tomou conhecimento do comportamento malicioso através de um pesquisador externo que divulgou a vulnerabilidade para a agência.
Quando a CISA testou três pacotes de firmware da Contec CMS8000, os pesquisadores descobriram tráfego de rede anômalo para um endereço IP externo hardcoded, que não está associado à empresa, mas sim a uma universidade.
Isso levou à descoberta de uma backdoor no firmware da empresa que silenciosamente baixa e executa arquivos no dispositivo, permitindo a execução remota e a tomada completa de controle dos monitores de pacientes.
Também foi descoberto que o dispositivo enviava silenciosamente dados dos pacientes para o mesmo endereço IP hardcoded quando os dispositivos eram iniciados.
Nenhuma dessas atividades era registrada, permitindo que a atividade maliciosa fosse conduzida secretamente sem alertar os administradores dos dispositivos.
Embora a CISA não tenha nomeado a universidade e tenha ocultado o endereço IP, o BleepingComputer descobriu que está associado a uma universidade chinesa.
Além disso, o endereço IP também está hardcoded no software para outros equipamentos médicos, incluindo um monitor de pacientes grávidas de outro fabricante de equipamentos de saúde na China.
Ao analisar o firmware, a CISA descobriu que um dos executáveis do dispositivo, 'monitor', contém uma backdoor que emite uma série de comandos Linux que ativam o adaptador de rede do dispositivo (eth0) e depois tentam montar um compartilhamento NFS remoto no endereço IP hardcoded pertencente à universidade.
O compartilhamento NFS é montado em /mnt/ e a backdoor copia recursivamente os arquivos da pasta /mnt/ para a pasta /opt/bin.
A backdoor continua a copiar arquivos de /opt/bin para a pasta /opt e, quando concluído, desmonta o compartilhamento NFS remoto.
"Embora o diretório /opt/bin não faça parte das instalações Linux padrão, ele ainda é uma estrutura comum de diretórios Linux", explica o aviso da CISA.
Geralmente, o Linux armazena instalações de softwares de terceiros no diretório /opt e binários de terceiros no diretório /opt/bin.
A capacidade de sobrescrever arquivos dentro do diretório /opt/bin oferece um primitivo poderoso para tomar controle do dispositivo remotamente e alterar a configuração do dispositivo remotamente.
Adicionalmente, o uso de links simbólicos poderia fornecer um primitivo para sobrescrever arquivos em qualquer lugar no sistema de arquivos do dispositivo.
Quando executada, essa função oferece um primitivo formidável que permite a um terceiro operando no endereço IP hardcoded assumir o controle total do dispositivo remotamente.
Embora a CISA não tenha compartilhado o que esses arquivos executam no dispositivo, eles disseram que detectaram nenhuma comunicação entre os dispositivos e o endereço IP hardcoded, apenas tentativas de conexão com ele.
A CISA diz que, após revisar o firmware, não acredita que essa seja uma característica de atualização automática, mas sim uma backdoor plantada intencionalmente no firmware do dispositivo.
Contribuindo para ser uma backdoor por design, a CISA descobriu que os dispositivos também começaram a enviar dados dos pacientes para o endereço IP remoto quando os dispositivos eram iniciados.
A CISA diz que os dados dos pacientes são tipicamente transmitidos através de uma rede usando o protocolo Health Level 7 (HL7).
No entanto, esses dispositivos enviaram os dados para o endereço IP remoto pela porta 515, que normalmente está associada com o protocolo Line Printer Daemon (LPD).
Os dados transmitidos incluem o nome do médico, o ID do paciente, o nome do paciente, a data de nascimento do paciente, entre outras informações.
Após entrar em contato com a Contec sobre a backdoor, a CISA recebeu várias imagens de firmware que supostamente teriam mitigado a backdoor.
No entanto, cada uma continuava a conter o código malicioso, com a empresa simplesmente desativando o adaptador de rede 'eth0' para mitigar a backdoor.
No entanto, essa mitigação não ajuda, pois o script especificamente o ativa usando o comando ifconfig eth0 up antes de montar o compartilhamento NFS remoto ou enviar dados dos pacientes.
Atualmente, não há um patch disponível para dispositivos que remove a backdoor, e a CISA recomenda que todas as organizações de saúde desconectem esses dispositivos da rede, se possível.
Além disso, a agência de cibersegurança recomenda que as organizações verifiquem seus monitores de pacientes Contec CMS8000 para qualquer sinal de manipulação, como a exibição de informações diferentes do estado físico de um paciente.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...