La CISA (Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity degli Stati Uniti) ha recentemente lanciato un’allerta significativa riguardo la presenza di un backdoor all’interno dei dispositivi di monitoraggio per pazienti Contec CMS8000. Questo ritrovamento ha sollevato gravi preoccupazioni tra gli operatori del settore sanitario e gli esperti di cybersicurezza, poiché tali dispositivi, utilizzati ampiamente in ospedali e cliniche, potrebbero mettere a rischio la riservatezza dei dati dei pazienti, inviando informazioni sensibili a un server remoto senza il consenso dei gestori.
Dettagli sul Rilevamento del Backdoor
Un’indagine avviata grazie alla segnalazione di un ricercatore esterno ha portato la CISA ad analizzare tre versioni del firmware del Contec CMS8000, dove è stato individuato un traffico insolito inviato a un indirizzo IP preconfigurato, non associato all’azienda, ma a una università in Cina. L’analisi ha confermato la presenza di un backdoor in grado di scaricare ed eseguire file sul dispositivo, garantendo un controllo remoto completo del monitor per pazienti.
Una delle scoperte più inquietanti è che tali attività non vengono registrate nei log di sistema, il che implica che eventuali attacchi malevoli possano avvenire senza destare sospetti tra gli amministratori.
Un Backdoor con Conseguenze Pregresse
Gli esperti della CISA, esaminando il codice del firmware, hanno rilevato che un file eseguibile denominato monitor esegue comandi su Linux per attivare la connessione di rete e montare una risorsa condivisa remota all’indirizzo IP sospetto.
Il codice maligno segue una serie di passaggi:
- Attiva l’adattatore di rete eth0.
- Collega il dispositivo a una risorsa remota utilizzando NFS.
- Copia i file dalla cartella remota alla cartella /opt/bin.
- Esegue ulteriori copie in /opt prima di smontare la risorsa.
Questa procedura conferisce un grado di controllo sostanziale sul dispositivo, consentendo a un attaccante di modificare le impostazioni e di installare software non autorizzati, il tutto senza supervisione da parte del personale ospedaliero o clinico.
Rischio di EFLITRAZIONE dei Dati Sensibili
Un altro aspetto critico di questa vulnerabilità riguarda l’invio di dati sensibili dei pazienti al server remoto già al momento dell’avvio del dispositivo. Fra le informazioni compromesse si trovano:
- Nome del paziente.
- ID del paziente.
- Data di nascita.
- Nome del medico curante.
Questa trasmissione avviene attraverso la porta 515, normalmente associata al protocollo di stampa LPD (Line Printer Daemon). L’uso non convenzionale di questa porta suggerisce che la trasmissione di dati sia concepita per rimanere nascosta in reti che non monitorano attivamente il traffico di stampa.
Tentativi di Risoluzione Infruttuosi
In seguito alla segnalazione del problema, Contec ha fornito diverse versioni di firmware che promettevano di correggere le vulnerabilità riscontrate. Tuttavia, un’analisi condotta dalla CISA ha rivelato che il codice malevolo era ancora presente. L’unica “soluzione” implementata dall’azienda è stata la disabilitazione dell’adattatore di rete, una misura insufficiente, poiché lo script che innesca il backdoor riattiva automaticamente la connessione di rete prima di avviare il trasferimento di dati o scaricare file.
Ad oggi, non esiste un patch ufficiale che elimini la vulnerabilità, spingendo la CISA a raccomandare a ospedali e strutture sanitarie di disconnettere questi dispositivi dalla rete fino a quando non verrà fornita una soluzione definitiva.
Cosa Possono Fare Ospedali e Cliniche?
Poiché la minaccia non è stata ancora neutralizzata dal produttore, è imperativo che le organizzazioni sanitarie adottino misure immediate per proteggere i dati dei pazienti e prevenire possibili esfiltrazioni di dati:
- Disconnettere i dispositivi Contec CMS8000 dalla rete. Se possibile, utilizzare questi monitor in modo indipendente e senza connessione Internet.
- Monitorare il traffico di rete. Controllare eventuali tentativi di connessione a indirizzi IP sconosciuti, in particolare sulla porta 515.
- Verificare i dispositivi per modifiche sospette. Qualsiasi comportamento anomalo nel visualizzare i dati dei pazienti può segnalare un intervento malevolo.
- Considerare alternative sicure. Valutare il possibile sostituzione dei dispositivi vulnerabili con modelli privi di rischi noti.
- Contattare Contec per richiedere una soluzione efficace. È fondamentale che la comunità medica eserciti pressione sull’azienda per rilasciare un patch sicuro e affidabile.
Conclusione
La scoperta di un backdoor in dispositivi medici cruciali rappresenta una questione di estrema gravità, sottolineando l’importanza della sicurezza nel settore sanitario. Il fatto che informazioni riservate possano essere inviate senza autorizzazione a un server in Cina mette a serio rischio la privacy dei pazienti e l’integrità dei sistemi ospedalieri.
Noi di WWWhatsnew riteniamo che questo caso debba servire da monito affinché i produttori di dispositivi medici rafforzino le proprie pratiche di sicurezza e mostrino maggiore trasparenza nelle loro aggiornamenti di firmware. La sicurezza informatica nel settore sanitario non è opzionale, ma è una necessità fondamentale per garantire la fiducia dei pazienti e la protezione delle loro informazioni più sensibili.