De US Cybersecurity and Infrastructure Security Agency (CISA) en de Food and Drug Administration (FDA) hebben waarschuwingen uitgegeven over de aanwezigheid van verborgen functionaliteit in Contec CMS8000 patiëntenmonitors en EPSIMED MN-120 Patiëntmonitors.
De kwetsbaarheid, gevolgd als CVE-2025-0626draagt een CVSS V4 -score van 7,7 op een schaal van 10.0. De fout, naast twee andere kwesties, werd gemeld door een anonieme externe onderzoeker bij CISA.
“Het getroffen product verzendt externe toegangsverzoeken naar een hard gecodeerd IP-adres, waardoor bestaande apparaatnetwerkinstellingen worden omzeild,” zei CISA in een advies. “Dit zou kunnen dienen als een achterdeur en ertoe leiden dat een kwaadwillende acteur bestanden op het apparaat kan uploaden en overschrijven.”
“De reverse backdoor biedt geautomatiseerde connectiviteit met een hard gecodeerd IP-adres van de Contec CMS8000-apparaten, waardoor het apparaat niet-geverifieerde externe bestanden kan downloaden en uitvoeren. Bublieksbeschikte gegevens tonen aan dat het IP-adres niet is gekoppeld aan een fabrikant van medische hulpmiddelen of medische faciliteit Maar een universiteit van derden. “
Twee andere geïdentificeerde kwetsbaarheden in de apparaten worden hieronder vermeld –
- CVE-2024-12248 (CVSS V4-score: 9.3)-Een out-of-bounds schrijft kwetsbaarheid waarmee een aanvaller speciaal opgemaakte UDP-aanvragen kan verzenden om willekeurige gegevens te schrijven, wat resulteert in externe code-uitvoering
- CVE-2025-0683 (CVSS V4-score: 8.2)-Een kwetsbaarheid van privacylekkage waardoor patiëntgegevens van gewone tekst worden verzonden naar een hard gecodeerd openbaar IP-adres wanneer de patiënt aan de monitor is bevestigd
Succesvolle exploitatie van CVE-2025-0683 kan het apparaat met dat niet-gespecificeerde IP-adres toestaan toegang te krijgen tot vertrouwelijke patiëntinformatie of de deur te openen voor een tegenstander-in-the-midden (AITM) scenario.
De beveiligingsgaten beïnvloeden de volgende producten –
- CMS8000 Patiëntmonitor: firmware-versie Smart3250-2.6.27-Wlan2.1.7.Cramfs
- CMS8000 Patiëntmonitor: firmwareversie CMS7.820.075.08/0.74 (0,75)
- CMS8000 Patiëntmonitor: firmwareversie CMS7.820.120.01/0.93 (0,95)
- CMS8000 Patiëntmonitor: alle versies (CVE-2025-0626 en CVE-2025-0683)
“Deze kwetsbaarheden van cybersecurity kunnen niet -geautoriseerde actoren in staat stellen om cybersecurity -controles te omzeilen, toegang te krijgen tot en mogelijk het apparaat te manipuleren,” zei de FDA, het toevoegen van het “niet bewust van eventuele cybersecurity -incidenten, verwondingen of sterften die verband houden met deze cybersecurity -kwetsbaarheden. “
Aangezien deze kwetsbaarheden niet -gepatcht blijven, beveelt CISA organisaties aan om Contec CMS8000 -apparaten uit hun netwerken los te koppelen en te verwijderen. Het is vermeldenswaard dat de apparaten ook opnieuw worden gemerkt en verkocht onder de naam EPSIMED MN-120.
Het wordt ook geadviseerd om de patiëntmonitors te controleren op tekenen van ongebruikelijk functioneren, zoals “inconsistenties tussen de getoonde vitalen van de patiënt en de feitelijke fysieke toestand van de patiënt.”
CMS8000 Patient Monitor wordt vervaardigd door Contec Medical Systems, een ontwikkelaar van medische hulpmiddelen die zich in Qinhuangdao, China bevinden. Op haar website beweert het bedrijf dat zijn producten door de FDA zijn goedgekeurd en gedistribueerd naar meer dan 130 landen en regio’s.
