版权:raker / Shutterstock
美国联邦机构警告称,一款在美国和欧洲医疗领域广泛使用的中国产患者监测设备存在内置后门,导致患者数据泄露到未经授权的远程服务器。该后门不仅存在于这款设备上,也存在于其重新品牌化的版本中,允许远程服务器似乎是某所大学的服务器在未经授权的情况下在设备上执行代码。
根据美国食品药品监督管理局FDA发布的安全警告,受影响的患者监测设备包括Contec CMS8000和Epsimed MN120,这是一款重标识的Contec设备。该设备用于监测患者的生命体征,包括心电图、心率、血氧饱和度、非侵入性血压、体温和呼吸频率。
康泰医疗系统Contec Medical Systems是中国最大的医疗设备制造商之一,总部位于秦皇岛,在芝加哥、杜塞尔多夫和新德里设有子公司。除了患者监测设备外,康泰还生产泵、超声系统、内窥镜、呼吸辅助设备、脑电图EEG和肌电图EMG系统、诊断设备等广泛的医疗产品。
美国网络安全和基础设施安全局CISA在收到外部研究员关于Contec CMS8000设备漏洞的报告后,发现了后门。
在审查漏洞报告的过程中,CISA的研究人员分析了设备的固件,发现固件代码中存在向硬编码IP地址通信的可疑功能。该IP地址并非设备制造商或医疗设施注册的地址,而似乎属于某个第三方大学。CISA没有在报告中披露该IP地址或大学名称。
CISA团队发现,与Linux基础的设备固件一起发布的一个名为monitor的二进制文件有功能,首先启用了设备的eth0网络接口,然后尝试通过NFS协议挂载来自硬编码IP地址的远程目录。
挂载后,该应用会检查名为monitor的文件是否存在于目录中。如果文件存在,系统会发出命令,将该目录中的所有文件复制到本地的/opt/bin目录,覆盖所有已经存在的同名文件。然后再发出命令,将名为/opt/bin/start的文件复制到/opt/startmonitor,并将其他文件复制到文件系统的其他位置。
CISA在分析报告中指出:“通过审查固件代码,团队确定该功能极不可能是一种替代更新机制,表现出高度不寻常的特征,不支持传统更新功能的实现。”例如,该功能没有提供完整性检查机制或更新的版本跟踪。当该功能执行时,设备上的文件被强制覆盖,导致最终客户如医院无法了解设备上正在运行的软件。
快喵加速器安卓安装包除了这种隐藏的远程代码执行行为外,CISA还发现一旦CMS8000完成启动例程,它还会通过端口515连接到同一IP地址,该端口通常与行打印守护进程LPD相关联,并开始在设备所有者不知情的情况下传输患者信息。
CISA表示:“研究团队创建了一个模拟网络,建立了一个虚假的患者档案,并将血压袖带、血氧监测器和ECG监测器外设连接到患者监测
