L’Agenzia per la sicurezza informatica e delle infrastrutture degli Stati Uniti (CISA) e la Meals and Drug Administration (FDA) hanno emesso avvisi sulla presenza di funzionalità nascoste in Contec CMS8000 Monitor dei pazienti e monitor dei pazienti MN-120 EPSIMED.
IL vulnerabilitàtracciato come CVE-2025-0626porta un punteggio CVSS V4 di 7,7 su una scala di 10,0. Il difetto, insieme advert altri due problemi, è stato segnalato alla CISA da un ricercatore esterno anonimo.
“Il prodotto interessato invia richieste di accesso remoto a un indirizzo IP con codifica dura, bypassing Impostazioni di rete di dispositivi esistenti per farlo”, CISA disse in un avviso. “Questo potrebbe servire da backdoor e portare a un attore dannoso in grado di caricare e sovrascrivere i file sul dispositivo.”
“Il backdoor inverso fornisce connettività automatizzata a un indirizzo IP con codice duro dai dispositivi Contec CMS8000, consentendo al dispositivo di scaricare ed eseguire file remoti non verificati. I report disponibili pubblicamente mostrano che l’indirizzo IP non è associato a un produttore di dispositivi medici o di una struttura medica ma un’università di terze parti. “
Altre due vulnerabilità identificate nei dispositivi sono elencate di seguito –
- CVE-2024-12248 (Punteggio CVSS V4: 9.3)-Una vulnerabilità di scrittura out-of-bound che potrebbe consentire a un utente malintenzionato di inviare richieste UDP appositamente formattate per scrivere dati arbitrari, con conseguente esecuzione del codice remoto
- CVE-2025-0683 (Punteggio CVSS V4: 8.2)-Una vulnerabilità di perdita di privateness che provoca la trasmissione dei dati del paziente con testo semplice a un indirizzo IP pubblico con codice duro quando il paziente è collegato al monitor
Lo sfruttamento riuscito di CVE-2025-0683 potrebbe consentire al dispositivo con quell’indirizzo IP non specificato di ottenere l’accesso alle informazioni riservate del paziente o aprire la porta a uno state of affairs AITM di avversario-in-middle (AITM).
I fori di sicurezza influenzano i seguenti prodotti –
- Monitoraggio del paziente CMS8000: versione del firmware Smart3250-2.6.27-Wlan2.1.7.cramfs
- Monitoraggio del paziente CMS8000: versione del firmware CMS7.820.075.08/0.74 (0,75)
- Monitoraggio del paziente CMS8000: versione del firmware CMS7.820.120.01/0.93 (0,95)
- Monitoraggio del paziente CMS8000: tutte le versioni (CVE-2025-0626 e CVE-2025-0683)
“Queste vulnerabilità della sicurezza informatica possono consentire agli attori non autorizzati di aggirare i controlli della sicurezza informatica, ottenendo l’accesso e potenzialmente manipolando il dispositivo”, la FDA disseaggiungendo che “non è a conoscenza di incidenti, infortuni o decessi della sicurezza informatica relativi a queste vulnerabilità della sicurezza informatica in questo momento”.
Dato che queste vulnerabilità rimangono senza patch, la CISA raccomanda che le organizzazioni scollegano e rimuovano qualsiasi dispositivo CMS8000 Contec dalle loro reti. Vale la pena notare che i dispositivi vengono anche etichettati e venduti con il nome Epsimed MN-120.
Si consiglia inoltre di controllare i monitor dei pazienti per eventuali segni di funzionamento insolito, come “incoerenze tra i vitali del paziente visualizzati e lo stato fisico effettivo del paziente”.
Il monitor dei pazienti CMS8000 è prodotto da Contec Medical Techniques, uno sviluppatore di dispositivi medici che si trovano a Qinhuangdao, in Cina. Sul suo sito net, la società affermazioni I suoi prodotti sono approvati dalla FDA e distribuiti a oltre 130 paesi e regioni.
