Team82 stuft vermeintliche Hintertür in medizinischem Überwachungsmonitor als Schwachstelle ein

Am 30. Januar veröffentlichte die US-amerikanische Cybersicherheitsbehörde CISA eine Warnung, die durch eine Benachrichtigung der US-Arzneimittelbehörde (FDA) ergänzt wurde. Demnach enthalten der in China hergestellte medizinische Überwachungsmonitor Contec-CMS8000 sowie OEM-White-Label-Varianten eine Backdoor, die mit einer chinesischen IP-Adresse kommuniziert. Die Sicherheitsforscher von Team82, der Forschungsabteilung des Spezialisten für die Sicherheit von cyberphysischen Systemen (CPS) Claroty, untersuchten die Firmware und kamen zu dem Schluss, dass es sich höchstwahrscheinlich nicht um eine versteckte Hintertür handelt, sondern um ein unsicheres/anfälliges Design, das allerdings ein großes Risiko für die Benutzer des Patientenmonitors und die Krankenhausnetzwerke darstellt.

Für diese Annahme spricht allein die Tatsache, dass der Hersteller und die Wiederverkäufer die entsprechende IP-Adresse in ihren Handbüchern aufführen und die Benutzer anweisen, das Central-Management-System (CMS) mit dieser IP-Adresse in ihren internen Netzwerken zu konfigurieren. Es handelt sich also wahrscheinlich nicht um eine Kampagne zum Abfangen von Patientendaten, sondern eher um eine unbeabsichtigte Gefährdung, die von Cyberkriminellen zum Sammeln von Informationen oder zur Durchführung unsicherer Firmware-Updates genutzt werden könnte. Nichtsdestotrotz sollte die Schwachstelle vorrangig beseitigt werden.

 

Hierzu geben die Experten folgende Empfehlungen:

  • Es wird dringend empfohlen, dass Unternehmen, die diesen Patientenmonitor einsetzen, jeglichen Zugriff auf das Subnetz 202.114.4.0/24 von ihrem internen Netzwerk aus blockieren. Auf diese Weise kann verhindert werden, dass die Geräte versuchen, ihre Firmware von einem WAN-Server aus zu aktualisieren oder sensitive Daten zu übertragen.
  • Bei einigen OEM-Modellen des Contec-CMS8000 ist es möglich, die Standard-Netzwerkkonfiguration des CMS zu ändern. Wenn dies möglich ist, sollte die Standard-IP-Adresse 202.114.4.119 nicht verwendet werden.
  • Ist man auf die fest kodierte IP-Adresse 202.114.4.119 in Bezug auf Überwachung und Updates angewiesen, empfehlen die Sicherheitsexperten die Anwendung statischer Routen und/oder eine Netzwerksegmentierung, um sicherzustellen, dass dieser Datenverkehr nur zum eigenen CMS und nicht nach außen geleitet wird.
  • Wird die HL7-Funktionalität des Patientenmonitors nicht genutzt, sollte der gesamte ausgehenden Netzwerkverkehr zu 202.114.4.120 blockiert werden, um einen möglichen Abfluss von Daten zu verhindern.

Info: Hintergründe und technische Details finden sich im entsprechenden Blog-Beitrag von Claroty.

#Claroty