АҚШ-тың Киберқауіпсіздік және инфрақұрылым қауіпсіздігі агенттігі (CISA) Contec CMS8000 пациенттерді бақылау құрылғыларында қауіпті осалдықты анықтады

АҚШ-тың Киберқауіпсіздік және инфрақұрылым қауіпсіздігі агенттігі (CISA) денсаулық сақтау саласында кеңінен қолданылатын Contec CMS8000 пациенттерді бақылау құрылғыларында қауіпті осалдық барын анықтады. Бұл құрылғыларда «жасырын есік» (backdoor) орнатылған, ол қашықтан құрылғыларға қол жеткізуге, пациенттердің мәліметтерін Қытайдағы сыртқы IP-адреске жіберуге және зиянды файлдарды орындауға мүмкіндік береді.
Қытайда орналасқан Contec компаниясы медициналық техника, соның ішінде пациенттерді бақылау жүйелері, диагностикалық жабдықтар және зертханалық құралдар өндірумен айналысады. Бұл осалдықты CISA-ға сыртқы зерттеуші құрылғылардың күмәнді әрекеттері туралы хабарлағаннан кейін анықтады. Contec CMS8000 үш құрылғысының микробағдарламасын (firmware) зерттегенде, мамандар белгісіз IP-адреске аномальды желілік қосылымдар орнатылғанын байқады. Бұл IP-адрес компанияға тиесілі болмай, Қытай университетімен байланысы бар екені анықталды.
Тексеру барысында Contec CMS8000 микробағдарламасында қашықтан файл жүктеп, іске қосуға мүмкіндік беретін backdoor бар екені анықталды. Бұл шабуылдаушыларға пациенттерді бақылау мониторларына толық бақылау орнатуға жағдай жасайды. Ең қауіптісі – бұл әрекеттер жасырын түрде, яғни әкімшілердің немесе пайдаланушылардың білмей қалуына мүмкіндік береді.
Сонымен қатар, құрылғылар әрбір қосылған сайын пациенттердің деректерін сол сыртқы IP-адреске жіберетіні анықталды. Деректер стандартты емес 515-порт арқылы беріледі, ол әдетте Line Printer Daemon (LPD) протоколы үшін қолданылады және медициналық салада жиі қолданылатын Health Level 7 (HL7) стандартына сәйкес келмейді. Жіберілген деректерде дәрігердің аты-жөні, пациенттің идентификаторы (ID), туған күні және басқа да жеке мәліметтер бар.
CISA бұл әрекеттердің құрылғыларды автоматты түрде жаңартуға қатысы жоқ екенін және микробағдарламаға әдейі енгізілген осалдық екенін атап өтті. Бағдарламалық код дәстүрлі жаңарту механизмдері мен деректердің тұтастығын тексеруді қолдамайды, бұл медициналық құрылғылардың қауіпсіздік стандарттарын бұзады.
Contec компаниясына бұл осалдық туралы хабарланғанда, жаңартылған микробағдарламалар жіберілді, алайда олар мәселені шешкен жоқ. Компания тек құрылғының желілік адаптерін (eth0) сөндірді, бірақ бұл тиімді шара болмады. Себебі зиянды код ifconfig eth0 up командасы арқылы желілік интерфейсті қайта іске қосуы мүмкін.
Қазіргі уақытта осалдықты толық жоятын патчтар жоқ. CISA медициналық мекемелерге Contec CMS8000 құрылғыларын шұғыл түрде желіден ажыратуға және пациенттердің мәліметтерінде күмәнді өзгерістердің бар-жоғын тексеруге кеңес береді.
CISA жағдайды бақылауды жалғастырып, өндірушімен жұмыс жүргізуде.