في 30 يناير 2025، أصدرت إدارة الغذاء والدواء الأمريكية (FDA) ووكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إشعارات منسقة بشأن ثلاث ثغرات أمنية في جهاز مراقبة العلامات الحيوية للمريض Contec CMS8000، بما في ذلك الثغرات الأمنية في الوحدات المعاد تسميتها مثل EpsiMed MN-120:
- ادارة الاغذية والعقاقير: ثغرات الأمن السيبراني في بعض الشاشات من Contec وEpsimed: اتصالات السلامة من إدارة الغذاء والدواء
- سي آي إس إيه: استشارة طبية من ICS: جهاز مراقبة المريض Contec Health CMS8000 ورقة حقائق: Contec CMS8000 يحتوي على باب خلفي
تقدم ورقة حقائق CISA وصفًا تفصيليًا للسلوك الملحوظ وتنص على أن الثغرات الأمنية تشكل بابًا خلفيًا، حيث يحاول الجهاز الطبي الاتصال بعنوان IP خارجي في جامعة صينية لم يتم ذكر اسمها بطريقتين:
- تركيب مشاركة نظام ملفات الشبكة (NFS) التي يمكنها منح عنوان IP الخارجي التحكم عن بعد في وظائف الجهاز.
- إرسال بيانات المريض عبر بروتوكول المستوى الصحي السابع (HL7). (بروتوكول HL7 عبارة عن مجموعة من المعايير لتبادل المعلومات الصحية الإلكترونية [EHI] بين أنظمة الرعاية الصحية.)
إن العواقب المحتملة لهذا السلوك قد تكون مثيرة للقلق بالفعل. إن وجود باب خلفي في أجهزة مراقبة العلامات الحيوية للمريض، والتي تستخدم عادة في بيئة العناية المركزة، يمكن أن يكون مدمرًا. إن الهجوم على سلامة أو توفر جهاز مراقبة العلامات الحيوية للمريض الذي يوفر تنبيهات حالة المريض في العناية المركزة في الوقت الفعلي هو مشكلة أمان حقيقية للغاية. إن إمكانية استخدام جهاز مراقبة العلامات الحيوية للمريض المخترق كنقطة انطلاق لشبكة المستشفى يمكن أن يكون لها أيضًا القدرة على التسبب في نوع من الاختراق أو هجوم برامج الفدية التي نراها كثيرًا في صناعة الرعاية الصحية. لا يمكن تجاهل العواقب الوخيمة لنقل HL7 السرية أيضًا.
أدى هذا الإصدار من بيان السلامة الصادر عن إدارة الغذاء والدواء والاستشارة الطبية الصادرة عن CISA ICS إلى قيام العديد من المصادر الإعلامية بنشر تقارير حول قيام شركة Contec، وهي شركة صينية لتصنيع الأجهزة الطبية، بإصدار أجهزة مراقبة العلامات الحيوية للمرضى التي تستخدمها المستشفيات الأمريكية من خلال باب خلفي.
تحليل فريق البحث في استخبارات التهديدات في Cylera
في أعقاب إفصاحات إدارة الغذاء والدواء ووكالة الأمن السيبراني والأمن السيبراني، قام أعضاء فريق البحث في استخبارات التهديدات في شركة Cylera بالتحقيق في الثغرات الأمنية الثلاث التي تم تحديدها في نشرة السلامة الخاصة بإدارة الغذاء والدواء من خلال نشر التوقيعات داخل منصة Cylera. وجد فريق البحث في استخبارات التهديدات في شركة Cylera مؤشر اختراق عنوان IP (IoC) 202.114.4.119 المنشور على وسائل التواصل الاجتماعي وأكد أن عنوان IP يطابق تعيين عنوان IP المبلغ عنه لجامعة صينية.
inetnum:، 202.112.0.0 - 202.121.255.255
اسم الشبكة:، CERNET-CN
الوصف: شبكة التعليم والبحث الصينية
الوصف: مركز شبكة التعليم والبحث الصيني
الوصف: جامعة تسينغهوا
الوصف:، بكين، 100084
البلد: الصين
admin-c:, CER-AP
التقنية-c:، CER-AP
إساءة الاستخدام-ج:، AC1685-AP
الحالة:، مخصص للمحمول
ملاحظات: الأصل AS4538
mnt-by:، APNIC-HM
mnt-lower:، MAINT-CERNET-AP
مسارات mnt:، MAINT-CERNET-AP
mnt-irt:، IRT-CERNET-AP
last-modified:, 2020-09-03T09:16:29Z
المصدر: APNIC
ومع ذلك، أثناء التحقيق في طبيعة عنوان IP بشكل أكبر، اكتشف فريق البحث في استخبارات التهديدات في Cylera أيضًا نتائج محرك البحث لعنوان IP الذي أنتج نتائج على أدلة أجهزة مراقبة المرضى من العديد من الشركات المصنعة.
على سبيل المثال، وجد فريق Cylera إشارات متعددة إلى عنوان IP في دليل مستخدم Contec CMS8000 الذي أعده المستورد الإيطالي Gima Professional Products (على وجه التحديد عنوان IP الثابت لخادم نظام المراقبة المركزي [CMS}).
الشكل 1
الشكل 2
كما وجد فريق Cylera عنوان IP في دليل تثبيت Drager Vista CMS، حيث يكون 202.114.4.119 هو عنوان IP الافتراضي للخادم. ويحدد الدليل أن أجهزة المراقبة يجب أن يكون لها عناوين على الشبكة 202.114.4.0/24 للتواصل مع الخادم.
الشكل 3
الشكل 4
كما وجد فريق Cylera المزيد من المراجع في دليل حلول مشاركة بيانات المريض من Mindray. في هذه الوثيقة، يتم توجيه المستخدمين للتحقق من أن أجهزة مراقبة المرضى موجودة على شبكة 202.114.4.0/24 والتأكد مرة أخرى من أن عنوان IP الافتراضي لخادم CMS هو 202.114.4.119.
الشكل 5
الشكل 6
وجد فريق البحث في استخبارات التهديدات في Cylera أيضًا مراجع مماثلة في دليل مشغل جهاز مراقبة العلامات الحيوية Mindray VS-800.
الشكل 7
يتم أيضًا الإشارة إلى عنوان IP في أدلة مراقبة المرضى الأخرى، بما في ذلك جهاز مراقبة العلامات الحيوية Edan M3A.
الشكل 8
بالإضافة إلى عنوان IP 202.114.4.119 والشبكة المصاحبة، يشير دليل خدمة حلول المراقبة المركزية لشركة Mindray إلى الشبكة 196.76.0.0/16 للاتصالات الداخلية. الشبكة مسجلة في المغرب.
الشكل 9
الشكل 10
نتائج فريق البحث في استخبارات التهديدات في Cylera
توصل فريق البحث في استخبارات التهديدات في شركة Cylera إلى الاعتقاد بأن السلوك الذي تم اكتشافه في جهاز مراقبة العلامات الحيوية للمريض Contec ليس في الواقع بابًا خلفيًا متعمدًا. بل إنه بدلاً من ذلك استخدام مؤسف لمساحة عنوان IPv4 مخصصة للجمهور في بيئة داخلية. كان هذا التصميم موجودًا بشكل افتراضي في هياكل شبكات مراقبة المرضى الخاصة بالعديد من الشركات المصنعة لعقود من الزمان.
في بيئة معملية، قد يلاحظ الباحث محاولات للتواصل مع عنوان IP في الصين. ومع ذلك، نعتقد أنه في معظم بيئات الإنتاج، تتواصل الشاشات مع خادم CMS مثبت بعنوان IP هذا على نفس شبكة VLAN المعزولة كما هو مقصود.
كما شارك فريق البحث في استخبارات التهديدات التابع لشركة Cylera هذه النتائج مع إدارة الغذاء والدواء.
لكن هذا يثير السؤال التالي: لماذا لا تستخدم شبكات المرضى مساحة عنوان خاصة محجوزة للشبكات المعزولة داخليًا؟
يعتقد باحثو استخبارات التهديدات في Cylera أن نطاقات الشبكة هذه تم اختيارها في الأصل لإزالة احتمال حدوث تصادمات في مساحة العناوين مع شبكات IP الخاصة بالمؤسسات الصحية الغربية. وهذا يزيل تعارضات التوجيه المحتملة على الجسر بين شبكة مراقبة المرضى وشبكة المستشفى، والتي قد تتطلب استراتيجيات متقدمة لترجمة عناوين الشبكة (NAT).
توصيات سيليرا
في حين لا يعتقد فريق استخبارات التهديدات في Cylera أن حركة المرور قد تم نقلها عمدًا إلى جامعة صينية، فلا يوجد ما يمنع أي كيان من استغلال اتصالات الشبكة المرسلة إليهم عن طريق الخطأ. لذلك، توصي Cylera فرق أمن تكنولوجيا المعلومات وأمن المعلومات في مؤسسات تقديم الرعاية الصحية باتخاذ الإجراءات التالية:
- تنفيذ قواعد الرفض الضمنية على جميع جدران الحماية الخارجية.
- التحقق من أي محاولة اتصال خارجية وإصلاح أي مشكلات اتصال غير مصرح بها على الفور، بما في ذلك حالات سوء التكوين.
- استشر بائعي أجهزة مراقبة المرضى بشأن استخدام مساحة العنوان المحجوزة على شبكات المراقبة.
تعرف على المزيد
تساعد Cylera مؤسسات الرعاية الصحية على تحديد ومنع اتصالات الشبكة غير المصرح بها من خلال عدة استراتيجيات رئيسية:
- اكتشاف الأصول وتصنيفها: توفر منصة Cylera تفاصيل مفصلة، جرد الأصول في الوقت الحقيقي لجميع الأجهزة الطبية المتصلة وأصول إنترنت الأشياء. يساعد هذا المؤسسات على فهم الأجهزة الموجودة على شبكتها وأنماط الاتصال الخاصة بها.
- أنماط حركة الاتصالات الآمنة: يمكن أن تساعد Cylera في ضمان اتصال أجهزة إنترنت الأشياء الخاصة بالرعاية الصحية فقط بالأنظمة المخصصة، مما يمنع الاتصالات غير المصرح بها والانتهاكات المحتملة.
- تقسيم الشبكة: من خلال الجمع بين محرك تحديد ملف تعريف جهاز منصة Cylera، Cylera تجزئة الشبكة مولد السياسات وCylera التكاملات بفضل حلول جدار الحماية والتحكم في الوصول إلى الشبكة (NAC) الرائدة، تستطيع Cylera مساعدة المؤسسات على عزل وحماية بياناتها الحساسة وأنظمتها الحيوية بشكل أفضل. يساعد هذا في منع الوصول غير المصرح به إلى أنظمة الرعاية الصحية الحيوية ويحد من انتشار البرامج الضارة.
لمعرفة المزيد حول كيفية قدرة Cylera على تعزيز الأمن السيبراني للرعاية الصحية الخاصة بك، تواصل معنا للحصول على استشارة شخصية أو جدولة عرض توضيحي. يسعدنا أن نشارك معك كيف يمكن لمؤسستك استخدام منصة سيليرا لحماية إنترنت الأشياء للرعاية الصحية والأجهزة الطبية المتصلة بشبكتك بشكل أكثر فعالية.
