CISA แจ้งเตือนเครื่องมอนิเตอร์ผู้ป่วยที่มี backdoor กำลังส่งข้อมูลไปยังประเทศจีน

CISA (Cybersecurity and Infrastructure Security Agency) ยืนยันว่าเครื่องมอนิเตอร์ผู้ป่วย Contec CMS8000 ซึ่งผลิตโดยบริษัทจากประเทศจีน และ Epsimed MN-120 ซึ่งเป็นเครื่องมอนิเตอร์ลักษณะเดียวกัน แต่มีการเปลี่ยนชื่อ มีการส่งข้อมูลของผู้ป่วยไปยังที่อยู่ IP ที่ถูกกำหนดล่วงหน้า และมี backdoor ที่สามารถใช้ในการดาวน์โหลด และดำเนินการไฟล์ที่ไม่ได้รับการตรวจสอบ

CISA ประเมินว่า การมี backdoor ในเฟิร์มแวร์ของเครื่องมอนิเตอร์นี้สามารถสร้างเงื่อนไขที่อาจทำให้เกิดการดำเนินการจากระยะไกล และการแก้ไขอุปกรณ์ได้ พร้อมทั้งสามารถเปลี่ยนแปลงการตั้งค่าของเครื่องได้ ซึ่งอาจนำไปสู่ความเสี่ยงต่อความปลอดภัยของผู้ป่วย เนื่องจากเครื่องมอนิเตอร์ที่ทำงานผิดปกติอาจทำให้การแสดงสัญญาณชีพไม่ถูกต้องจากที่แสดงบนอุปกรณ์

Backdoor ในเครื่องมอนิเตอร์ผู้ป่วย Contec

Contec CMS8000 เป็นอุปกรณ์สำหรับการตรวจสอบสัญญาณชีพของมนุษย์ และถูกใช้งานอย่างแพร่หลายในองค์กรด้านสุขภาพ และการตั้งค่า เช่น การตรวจสอบผู้ป่วยในบ้านในสหรัฐอเมริกา และสหภาพยุโรป

อุปกรณ์นี้ผลิตโดย Contec Medical Systems ซึ่งตั้งอยู่ในเมือง Qinhuangdao ประเทศจีน

หลังจากได้รับข้อมูลเกี่ยวกับฟังก์ชันที่ไม่คาดคิดของเครื่องมอนิเตอร์จากนักวิจัยภายนอกที่ไม่เปิดเผยชื่อ CISA ได้ทำการวิเคราะห์เฟิร์มแวร์สามเวอร์ชันของอุปกรณ์ และพบช่องโหว่สามรายการ

  • ช่องโหว่ Reverse Backdoor (CVE-2025-0626) ที่ให้การเชื่อมต่ออัตโนมัติกับที่อยู่ IP ที่ตั้งค่าไว้ล่วงหน้า ซึ่งช่วยให้ผู้โจมตีสามารถอัปโหลด และเขียนทับไฟล์ในอุปกรณ์ได้
  • ช่องโหว่ Out-of-Bounds write (CVE-2024-12248) ที่ทำให้ผู้โจมตีสามารถส่งคำขอ UDP ที่มีรูปแบบพิเศษไปยังอุปกรณ์เพื่อเขียนข้อมูลที่กำหนดเอง ซึ่งอาจทำให้สามารถดำเนินการโค้ดที่เป็นอันตรายจากระยะไกลได้
  • ช่องโหว่ (CVE-2025-0683) ที่ส่งผลให้ข้อมูลผู้ป่วย (ข้อมูลส่วนบุคคล และข้อมูลสุขภาพ) และข้อมูลเซ็นเซอร์มอนิเตอร์ถูกเก็บ และส่งไปยังที่อยู่ IP สาธารณะที่กำหนดไว้ล่วงหน้าเมื่อผู้ป่วยเชื่อมต่อกับมอนิเตอร์

CISA ระบุว่า “บันทึกที่เผยแพร่สู่สาธารณะแสดงให้เห็นว่าที่อยู่ IP นั้นไม่เกี่ยวข้องกับผู้ผลิตอุปกรณ์การแพทย์ หรือสถานพยาบาล แต่เกี่ยวข้องกับมหาวิทยาลัยของ third-party”

ตามรายงานของ Bleeping Computer ที่อยู่ IP นี้เป็นของมหาวิทยาลัยจีน และยังถูกฝังอยู่ในซอฟต์แวร์ของอุปกรณ์การแพทย์อื่น ๆ ที่ผลิตในจีนโดยผู้ผลิตจีน

CISA ระบุว่า backdoor ที่พบนี้ ไม่น่าจะเกี่ยวข้องกับกลไกการอัปเดต

CISA อธิบายเพิ่มเติมว่า “ฟังก์ชันนี้ไม่ได้ให้กลไกการตรวจสอบความสมบูรณ์ หรือการติดตามเวอร์ชันของการอัปเดต เมื่อฟังก์ชันนี้ทำงาน จะมีการเขียนทับไฟล์ในอุปกรณ์โดยไม่สามารถยกเลิกได้ ซึ่งทำให้ลูกค้า เช่น โรงพยาบาล ไม่สามารถทราบได้ว่าโปรแกรมซอฟต์แวร์ใดกำลังทำงานบนอุปกรณ์ การกระทำเหล่านี้ และการขาดข้อมูลการตรวจสอบ critical log ขัดกับแนวปฏิบัติที่ถูกยอมรับโดยทั่วไป และละเลยส่วนประกอบที่จำเป็นสำหรับการจัดการการอัปเดตระบบที่เหมาะสม โดยเฉพาะอย่างยิ่งสำหรับอุปกรณ์การแพทย์”

รายละเอียดเพิ่มเติมเกี่ยวกับการดำเนินการทางเทคนิคของ backdoor นี้ได้ถูกอธิบายไว้ในเอกสารรายงานจาก CISA

ควรทำอย่างไร?

The US Food and Drug Administration (FDA) ระบุว่า "ขณะนี้ยังไม่พบเหตุการณ์ทางไซเบอร์, การบาดเจ็บ หรือการเสียชีวิตที่เกี่ยวข้องกับช่องโหว่ทางไซเบอร์เหล่านี้"

หน่วยงานยังได้ชี้ให้เห็นว่า “ช่องโหว่นี้อาจทำให้เครื่องมอนิเตอร์ผู้ป่วย Contec และ Epsimed ทั้งหมดที่มีความเสี่ยงในเครือข่ายเดียวกันถูกโจมตีพร้อมกันได้”

เนื่องจากขณะนี้ยังไม่มีการแก้ไขช่องโหว่เหล่านี้ FDA จึงแนะนำให้ผู้ให้บริการด้านสุขภาพตรวจสอบสัญญาณการทำงานที่ผิดปกติ และปิดฟังก์ชันการตรวจสอบทางไกล โดยการถอดสาย Ethernet ของอุปกรณ์ และปิดการเชื่อมต่อไร้สายหากไม่จำเป็น

หากไม่สามารถปิดฟีเจอร์เหล่านี้ได้ แนะนำให้ผู้ให้บริการด้านสุขภาพ, ผู้ป่วย และผู้ดูแลหยุดใช้งานเครื่องมอนิเตอร์ ติดต่อขอเครื่องมอนิเตอร์ผู้ป่วยเครื่องอื่นมาใช้งานแทน

ที่มา : helpnetsecurity