Nem rosszindulatú kód van a Contec eszközeiben, csak sérülékeny

A Contec CMS8000 betegőrző monitorokban azonosított hátsó kapu valójában egy biztonsági tervezési hiba következménye, amely veszélyezteti a betegadatokat – állítja a Claroty kiberbiztonsági cég. Az amerikai és európai egészségügyi intézményekben használt eszközök firmware-je egy előre beprogramozott IP-címhez csatlakozik, amelyet az USA kiberbiztonsági ügynöksége (CISA) és az FDA egy rejtett visszirányú hátsó kapuként azonosított. Ez lehetőséget adhat támadóknak arra, hogy illetéktelen fájlokat töltsenek fel és futtassanak az eszközön, veszélyeztetve annak működését és a betegek biztonságát. A Claroty azonban hangsúlyozza, hogy ez az IP-cím szerepel az eszköz kézikönyvében, így nem szándékos hátsó kapuról, hanem tervezési hibáról van szó.

A biztonsági elemzés során kiderült, hogy az eszköz frissítési folyamata egy nem biztonságos NFS-megosztásra épül, amely lehetőséget teremt ember a középen (MitM) típusú támadásokra. Bár ennek kihasználása fizikai hozzáférést igényel, a monitor egy nyilvánosan elérhető IP-címmel kommunikál, amely kockázatot jelent az adatszivárgás és a rosszindulatú parancsok fogadása szempontjából. A Claroty egy proof-of-concept (PoC) támadást is kidolgozott, amely igazolta, hogy a monitor távoli támadásoknak van kitéve. Az érintett szervezeteknek javasolják a hálózati hozzáférés szigorítását, a 202.114.4.0/24 tartomány blokkolását, valamint az eszköz lecserélését egy biztonságosabb alternatívára, amennyiben a gyártó nem módosítja a firmware-t.

(forrás)