Chiński backdoor znaleziony w urządzeniach medycznych.

Chodzi o urządzenia do monitorowania pacjentów: Contec CMS8000 (urządzenie dostępne jest również w Polsce) oraz Epsimed MN-120.

Backdoor umożliwia na pełen dostęp do urządzenia na uprawnieniach administracyjnych (kontrola wszystkich parametrów urządzenia, dostęp do danych, ale też możliwość dalszego atakowania sieci).

Od strony technicznej – urządzenie montuje zdalny zasób sieciowy poprzez NFS, kopiuje z niego pliki i umieszcza w katalogu /opt/bin – to finalnie umożliwia podstawienie przez potencjalnych atakujących pliku, który uruchomi się z pełnymi uprawnieniami. Zdalny adres IP, z którego montowany jest zasób należy do „pewnego uniwersytetu”, a wg doniesień chodzi o Chiny. Jak widać atak może się odbyć również wtedy, kiedy filtrujemy na firewallu komunikację przychodzącą.

A, jako „bonus” urządzenie podczas startu wysyła do ww. adresu IP podstawowe dane pacjenta.

Trwa przygotowywanie skutecznej łatki przez producenta, ale na razie nie jest ona dostępna.

~ms