Três versões de firmware do monitor multiparâmetro Contec CMS8000 (também vendido com a marca Epsimed MN-120), utilizado em serviços de saúde inclusive no Brasil, contêm um backdoor com um endereço IP “hardcoded”. Ontem, a agência reguladora de saúde dos EUA, a FDA (Food and Drug Administration) publicou um alerta para os profissionais de saúde, unidades de saúde, pacientes e cuidadores sobre as vulnerabilidades de segurança cibernética desses os monitores, que podem colocar os pacientes em risco após serem conectados à Internet. OS monitores são fabricados pela empresa Contec Medical Systems, que tem sede na China.
Leia também
Falhas críticas em 53% dos dispositivos médicos
Dispositivos médicos estão sob grande risco nos hospitais
Foram identificadas três vulnerabilidades:
- O monitor do paciente pode ser controlado remotamente por um usuário não autorizado ou não funcionar como previsto
- O software inclui um backdoor, o que pode significar que o dispositivo ou a rede à qual o dispositivo foi conectado podem ser comprometidos
- Depois que o monitor do paciente é conectado à Internet, ele começa a coletar dados do paciente, incluindo informações de identificação pessoal (PII) e informações de saúde protegidas (PHI), e a exfiltrar os dados do ambiente de saúde
A FDA informou não ter conhecimento de nenhum incidente de segurança cibernética, ferimentos ou mortes relacionadas a essas vulnerabilidades de segurança cibernética neste momento. A CISA, agência de segurança cibernética e de infraestrutura dos EUA, publicou também um alerta sobre os dois dispositivos.
O Contec CMS8000 é usado em ambientes médicos para fornecer monitoramento contínuo dos sinais vitais de um paciente — rastreando eletrocardiograma, frequência cardíaca, saturação de oxigênio no sangue, pressão arterial não invasiva, temperatura e frequência respiratória.
Testes
A equipe de pesquisa da CISA testou três versões do firmware Contec — (1) Versão 2.0.6, (2) uma imagem de pré-lançamento sem número de versão conhecido e (3) uma imagem de pré-lançamento da Versão 2.0.8 — para validar a mitigação da vulnerabilidade identificada. Durante essa validação, a equipe de pesquisa investigou o tráfego de rede anômalo que um pesquisador de segurança forneceu à equipe como parte do relatório de vulnerabilidade. A equipe de pesquisa então descobriu o que se assemelha a um backdoor reverso nas três versões de firmware.
O backdoor reverso fornece conectividade automatizada a um endereço IP, permitindo que o dispositivo baixe e execute arquivos remotos não verificados. Registros disponíveis publicamente mostram que o endereço IP não está associado a um fabricante de dispositivo médico ou instalação médica, mas a uma universidade. Ao revisar o código do firmware, a equipe determinou que é muito improvável que a funcionalidade seja um mecanismo de atualização alternativo, exibindo características que não suportam a implementação de um recurso de atualização tradicional (não há um mecanismo de verificação de integridade nem rastreamento de versão de atualizações, por exemplo). Quando a função é executada, os arquivos no dispositivo são sobrescritos à força, impedindo que o cliente final — como um hospital — saiba qual software está sendo executado no dispositivo.
