Il 30 gennaio scorso, la Cybersecurity Infrastructure & Security Agency (CISA) ha rilasciato un avviso, accompagnato da una notifica della U.S. Food and Drug Administration (FDA), che riporta come il dispositivo Contec CMS8000 per il monitoraggio dei pazienti e le sue varianti OEM white-lebel contengano una backdoor che comunica con un indirizzo IP cinese.
Poiché si tratta di un monitor paziente prodotto in Cina, la notifica avverte gli operatori sanitari che il dispositivo “può creare condizioni che potrebbero consentire l’esecuzione remota di codice e la modifica del dispositivo con la possibilità di alterarne la configurazione. Questo introduce un rischio per la sicurezza del paziente, poiché un monitor malfunzionante potrebbe portare a risposte inadeguate ai parametri vitali visualizzati dal dispositivo“. La notifica afferma esplicitamente che questa backdoor è una “funzionalità nascosta” (CWE-912), facendo riferimento a un indirizzo IP hardcoded in Cina per la comunicazione in uscita dei dati dei pazienti e per gli aggiornamenti del firmware.
Il Team82, il pluripremiato gruppo di ricercatori Claroty, ha analizzato il firmware ed è giunto alla conclusione che molto probabilmente non si tratta di una backdoor nascosta, ma piuttosto di un problema di progettazione, che crea potenziali rischi per la sicurezza dei dati dei pazienti e per le reti ospedaliere.
Il Manuale Operativo di CONTEC menziona esplicitamente questo indirizzo IP “hardcoded” come l’indirizzo IP del Sistema di Gestione Centrale (CMS) che le organizzazioni dovrebbero utilizzare; quindi, non si tratta di una funzionalità nascosta, come indicato da CISA.
Il manuale Contec raccomanda l’uso dell’indirizzo IP CMS hardcoded: 202.114.4.119 e in assenza di ulteriori informazioni su minacce specifiche, questa sfumatura è importante perché dimostra la mancanza di intenzioni malevole, modificando quindi la priorità delle azioni di mitigazione.
In altre parole, è improbabile che si tratti di una campagna mirata alla raccolta di dati dei pazienti, ma più probabilmente di un’esposizione involontaria che potrebbe essere sfruttata per raccogliere informazioni o eseguire aggiornamenti firmware non sicuri.
Pur non trattandosi di una minaccia intenzionale, la vulnerabilità rappresenta un rischio concreto per la sicurezza dei dati sanitari e delle reti ospedaliere. È quindi fondamentale intervenire con priorità per prevenire possibili exploit e garantire la protezione delle informazioni sensibili.
La ricerca completa condotta dal Team82 è disponibile al seguente link.