Co nam Chiny szykują....
Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) ostrzega, że ​​urządzenia Contec CMS8000, powszechnie stosowane urządzenia do monitorowania pacjentów w placówkach służby zdrowia, zawierają backdoor, który po cichu wysyła dane pacjenta na zdalny adres IP oraz pobiera
i uruchamia pliki na urządzeniu.

Contec to chińska firma specjalizująca się w technologii medycznej, oferująca szeroką gamę urządzeń medycznych, w tym systemy monitorowania pacjentów, sprzęt diagnostyczny i instrumenty laboratoryjne. 1/n

CISA dowiedziała się o złośliwym zachowaniu od zewnętrznego badacza, który ujawnił lukę w zabezpieczeniach agencji. Gdy CISA przetestowała trzy pakiety oprogramowania sprzętowego Contec CMS8000, naukowcy odkryli nietypowy ruch sieciowy skierowany do zakodowanego na stałe zewnętrznego adresu IP, który nie był powiązany z firmą, lecz z uniwersytetem - w Chinach.
Doprowadziło to do odkrycia backdoora w oprogramowaniu sprzętowym firmy, które umożliwiało dyskretne pobieranie i wykonywanie plików na urządzeniu, umożliwiając zdalne wykonywanie zadań
i całkowite przejęcie kontroli nad monitorami pacjentów. Odkryto również, że urządzenie po uruchomieniu dyskretnie wysyłało dane pacjenta na ten sam zakodowany na stałe adres. 2/n

Żadna z tych aktywności nie została zarejestrowana, co spowodowało, że złośliwa aktywność była prowadzona potajemnie, bez powiadamiania administratorów urządzeń. Chociaż CISA nie podała nazwy uczelni/firmy/instytucji i ukryła adres IP, to portal BleepingComputer dowiedział się, że jest ona powiązana z chińskim uniwersytetem. Adres IP jest również na stałe zakodowany w oprogramowaniu innego sprzętu medycznego, w tym w monitorze ciąży innego chińskiego producenta sprzętu medycznego. Komunikat FDA na temat tylnego wejścia potwierdził również, że zostało ono wykryte również w monitorach pacjenta firmy Epsimed MN-120, które są realnie ponownie oznakowanymi urządzeniami firmy Contec model CMS8000. 3/n

Podczas analizy oprogramowania sprzętowego CISA odkryła, że ​​jeden z plików wykonywalnych urządzenia, „monitor”, zawiera backdoor, który wydaje serię poleceń systemu Linux, włączających kartę sieciową urządzenia (eth0), a następnie próbuje zamontować zdalny udział NFS w zakodowany na stałe adres IP należący do chińskiego uniwersytetu. Po skontaktowaniu się z Contec w sprawie backdoora, CISA otrzymała wiele wersji oprogramowania sprzętowego, które miały wyeliminować backdoor. Jednak każdy z nich nadal zawierał złośliwy kod, a firma po prostu wyłączyła kartę sieciową „eth0”, aby zablokować dostęp do tylnego wejścia. Jednakże to ograniczenie nie pomaga, ponieważ skrypt włącza je za pomocą polecenia ifconfig eth0 up przed zamontowaniem zdalnego udziału NFS lub wysłaniem danych pacjenta. Obecnie nie ma dostępnej poprawki dla urządzeń, która usuwałaby tylne wejście, a CISA zaleca, aby wszystkie placówki opieki zdrowotnej odłączyły te urządzenia od sieci, jeśli to możliwe. Ponadto agencja ds. cyberbezpieczeństwa zaleca organizacjom sprawdzenie swoich monitorów pacjenta Contec CMS8000 pod kątem wszelkich oznak manipulacji, takich jak wyświetlanie informacji niezgodnych ze stanem fizycznym pacjenta. BleepingComputer skontaktował się z Contec z pytaniami dotyczącymi oprogramowania sprzętowego i zaktualizuje artykuł, jeśli otrzyma odpowiedź. 4/n

Materiał powstał z tłumaczenia artykułu Lawrence Adamsa, dzięki czujności i pomocy Widza kanału KL,
o pseudonimie Blind, któremu bardzo dziękuję!
To kolejny po dźwigach portowych motyw
z backdoorami systemowymi i ich aktywnymi końcówkami na chińskich IP....
Pozdrawiam i zapraszam do dyskusji:)
5/5

@mic_marek @MarekMeissner @marek_reszka @mirek_szczerba @DominikSerwacki @dominik_czernik @Maciej_Korowaj @WarNewsPL1 @BadEmbassy @DuchMateusz @Anna_M_Dyner @Martinnkaaaa @DanielBockowski @TomaszGrzywacz3 @piotrkaszuwara @jodynaa @AleksanderFied @LukasKobierski @FilippDM @_ai_Labs_