CISA (Cybersecurity and Infrastructure Security Agency) ยืนยันว่าเครื่องมอนิเตอร์ผู้ป่วย Contec CMS8000 ซึ่งผลิตโดยบริษัทจากประเทศจีน และ Epsimed MN-120 ซึ่งเป็นเครื่องมอนิเตอร์ลักษณะเดียวกัน แต่มีการเปลี่ยนชื่อ มีการส่งข้อมูลของผู้ป่วยไปยังที่อยู่ IP ที่ถูกกำหนดล่วงหน้า และมี backdoor ที่สามารถใช้ในการดาวน์โหลด และดำเนินการไฟล์ที่ไม่ได้รับการตรวจสอบ
CISA ประเมินว่า การมี backdoor ในเฟิร์มแวร์ของเครื่องมอนิเตอร์นี้สามารถสร้างเงื่อนไขที่อาจทำให้เกิดการดำเนินการจากระยะไกล และการแก้ไขอุปกรณ์ได้ พร้อมทั้งสามารถเปลี่ยนแปลงการตั้งค่าของเครื่องได้ ซึ่งอาจนำไปสู่ความเสี่ยงต่อความปลอดภัยของผู้ป่วย เนื่องจากเครื่องมอนิเตอร์ที่ทำงานผิดปกติอาจทำให้การแสดงสัญญาณชีพไม่ถูกต้องจากที่แสดงบนอุปกรณ์
Backdoor ในเครื่องมอนิเตอร์ผู้ป่วย Contec
Contec CMS8000 เป็นอุปกรณ์สำหรับการตรวจสอบสัญญาณชีพของมนุษย์ และถูกใช้งานอย่างแพร่หลายในองค์กรด้านสุขภาพ และการตั้งค่า เช่น การตรวจสอบผู้ป่วยในบ้านในสหรัฐอเมริกา และสหภาพยุโรป
อุปกรณ์นี้ผลิตโดย Contec Medical Systems ซึ่งตั้งอยู่ในเมือง Qinhuangdao ประเทศจีน
หลังจากได้รับข้อมูลเกี่ยวกับฟังก์ชันที่ไม่คาดคิดของเครื่องมอนิเตอร์จากนักวิจัยภายนอกที่ไม่เปิดเผยชื่อ CISA ได้ทำการวิเคราะห์เฟิร์มแวร์สามเวอร์ชันของอุปกรณ์ และพบช่องโหว่สามรายการ
- ช่องโหว่ Reverse Backdoor (CVE-2025-0626) ที่ให้การเชื่อมต่ออัตโนมัติกับที่อยู่ IP ที่ตั้งค่าไว้ล่วงหน้า ซึ่งช่วยให้ผู้โจมตีสามารถอัปโหลด และเขียนทับไฟล์ในอุปกรณ์ได้
- ช่องโหว่ Out-of-Bounds write (CVE-2024-12248) ที่ทำให้ผู้โจมตีสามารถส่งคำขอ UDP ที่มีรูปแบบพิเศษไปยังอุปกรณ์เพื่อเขียนข้อมูลที่กำหนดเอง ซึ่งอาจทำให้สามารถดำเนินการโค้ดที่เป็นอันตรายจากระยะไกลได้
- ช่องโหว่ (CVE-2025-0683) ที่ส่งผลให้ข้อมูลผู้ป่วย (ข้อมูลส่วนบุคคล และข้อมูลสุขภาพ) และข้อมูลเซ็นเซอร์มอนิเตอร์ถูกเก็บ และส่งไปยังที่อยู่ IP สาธารณะที่กำหนดไว้ล่วงหน้าเมื่อผู้ป่วยเชื่อมต่อกับมอนิเตอร์
CISA ระบุว่า “บันทึกที่เผยแพร่สู่สาธารณะแสดงให้เห็นว่าที่อยู่ IP นั้นไม่เกี่ยวข้องกับผู้ผลิตอุปกรณ์การแพทย์ หรือสถานพยาบาล แต่เกี่ยวข้องกับมหาวิทยาลัยของ third-party”
ตามรายงานของ Bleeping Computer ที่อยู่ IP นี้เป็นของมหาวิทยาลัยจีน และยังถูกฝังอยู่ในซอฟต์แวร์ของอุปกรณ์การแพทย์อื่น ๆ ที่ผลิตในจีนโดยผู้ผลิตจีน
CISA ระบุว่า backdoor ที่พบนี้ ไม่น่าจะเกี่ยวข้องกับกลไกการอัปเดต
CISA อธิบายเพิ่มเติมว่า “ฟังก์ชันนี้ไม่ได้ให้กลไกการตรวจสอบความสมบูรณ์ หรือการติดตามเวอร์ชันของการอัปเดต เมื่อฟังก์ชันนี้ทำงาน จะมีการเขียนทับไฟล์ในอุปกรณ์โดยไม่สามารถยกเลิกได้ ซึ่งทำให้ลูกค้า เช่น โรงพยาบาล ไม่สามารถทราบได้ว่าโปรแกรมซอฟต์แวร์ใดกำลังทำงานบนอุปกรณ์ การกระทำเหล่านี้ และการขาดข้อมูลการตรวจสอบ critical log ขัดกับแนวปฏิบัติที่ถูกยอมรับโดยทั่วไป และละเลยส่วนประกอบที่จำเป็นสำหรับการจัดการการอัปเดตระบบที่เหมาะสม โดยเฉพาะอย่างยิ่งสำหรับอุปกรณ์การแพทย์”
รายละเอียดเพิ่มเติมเกี่ยวกับการดำเนินการทางเทคนิคของ backdoor นี้ได้ถูกอธิบายไว้ในเอกสารรายงานจาก CISA
ควรทำอย่างไร?
The US Food and Drug Administration (FDA) ระบุว่า "ขณะนี้ยังไม่พบเหตุการณ์ทางไซเบอร์, การบาดเจ็บ หรือการเสียชีวิตที่เกี่ยวข้องกับช่องโหว่ทางไซเบอร์เหล่านี้"
หน่วยงานยังได้ชี้ให้เห็นว่า “ช่องโหว่นี้อาจทำให้เครื่องมอนิเตอร์ผู้ป่วย Contec และ Epsimed ทั้งหมดที่มีความเสี่ยงในเครือข่ายเดียวกันถูกโจมตีพร้อมกันได้”
เนื่องจากขณะนี้ยังไม่มีการแก้ไขช่องโหว่เหล่านี้ FDA จึงแนะนำให้ผู้ให้บริการด้านสุขภาพตรวจสอบสัญญาณการทำงานที่ผิดปกติ และปิดฟังก์ชันการตรวจสอบทางไกล โดยการถอดสาย Ethernet ของอุปกรณ์ และปิดการเชื่อมต่อไร้สายหากไม่จำเป็น
หากไม่สามารถปิดฟีเจอร์เหล่านี้ได้ แนะนำให้ผู้ให้บริการด้านสุขภาพ, ผู้ป่วย และผู้ดูแลหยุดใช้งานเครื่องมอนิเตอร์ ติดต่อขอเครื่องมอนิเตอร์ผู้ป่วยเครื่องอื่นมาใช้งานแทน
ที่มา : helpnetsecurity
You must be logged in to post a comment.