Contec CMS8000患者モニターのファームウェアに埋め込まれた隠しバックドア機能が、米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)によって特定された。
ハードコードされたIPアドレスと、患者データへの不正アクセスの可能性を含むこの脆弱性は、解析されたすべてのバージョンの同機器ファームウェアに存在する。
Contec CMS8000は、心電図(ECG)、心拍数、血中酸素濃度、その他の重要な患者指標を含むバイタルサインを監視するため、米国および欧州連合の医療施設で広く使用されている。
医療用モニターのバックドアが患者ケアを妨げる可能性
CISAの分析により、このバックドアはリモートコード実行(RCE)およびデバイス改変を可能にし得ることが判明した。悪用された場合、監視機能が妨害され、患者のバイタルに対する不適切な対応につながる可能性がある。
このバックドア機能により、デバイスは検証なしにリモートファイルをダウンロードして実行でき、標準的な更新セキュリティ機構を回避してしまう。
この発見は、独立系セキュリティ研究者が異常なネットワーク活動を指摘した報告に続くものだ。 追加分析の結果、CISAはモニターが第三者の大学に登録されたIPアドレスへの接続を試みていたことを確認した。
CISAは、患者データがデバイス起動時に同じハードコードされたIPアドレスへ自動的に送信されることを確認した。
この送信は、標準的な医療データプロトコルではなく、一般にLine Printer Daemon(LPD)プロトコルに関連付けられるポート515を介して行われる。これらの送信に暗号化とログ記録がないことにより、機微な患者情報が不正な主体にアクセスされるリスクが高まる。
バージョン2.0.8を含むベンダー提供のファームウェア更新があるにもかかわらず、CISAはバックドア機能が依然として存在することを確認した。特定のネットワークインターフェースを無効化するなどの緩和策が試みられたものの、根本的なセキュリティリスクは残ったままだ。
しかし、サイバーセキュリティ企業Clarotyは、このバックドアの実態は第一印象ほど単純ではないと述べた。
CMS8000のファームウェアを調査した結果、Clarotyの研究者チームTeam82は、これは隠しバックドアである可能性は高くない一方で、患者モニターの利用者や病院ネットワークに大きなリスクをもたらす、安全でない/脆弱な設計であると述べた。
「追加の脅威インテリジェンスがない状況では、このニュアンスは重要だ。悪意の意図がないことを示し、その結果、是正活動の優先順位付けが変わるからである。言い換えれば、これは患者データを収集するキャンペーンである可能性は低く、情報収集や安全でないファームウェア更新に悪用され得る、意図しない露出である可能性が高い」 とTeam82の研究者は述べた。
医療機器のサイバーセキュリティ脅威についてさらに読む:医療サプライヤーへの攻撃後、英国の自治体がデータ侵害を警告
医療提供者向けの推奨事項
CISAと食品医薬品局(FDA)は、医療提供者に対し次の対応を取るよう促した:
-
リモート監視機能を無効化する
-
影響を受けるデバイスをネットワークアクセスから切り離す
-
オフラインでの使用が選択肢にならない場合は代替の患者モニターを検討する
FDAは、この脆弱性に関連するサイバーセキュリティインシデントの報告は把握していないとしつつも、施設に対して警戒を怠らず、異常があれば報告するよう助言している。
翻訳元: https://www.infosecurity-magazine.com/news/cisa-warns-backdoor-contec-patient/
