CISA e FDA alertam sobre backdoor
3 de Fevereiro de 2025

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e a Administração de Alimentos e Medicamentos (FDA) emitiram alertas sobre a presença de funcionalidades ocultas nos monitores de pacientes Contec CMS8000 e Epsimed MN-120.

A vulnerabilidade, identificada como CVE-2025-0626 , recebeu uma pontuação CVSS v4 de 7.7 em uma escala de 10.0.

A falha, juntamente com outros dois problemas, foi relatada à CISA por um pesquisador externo anônimo.

"Ao enviar solicitações de acesso remoto para um endereço IP codificado diretamente, o produto afetado ignora as configurações de rede do dispositivo existentes para fazer isso," disse a CISA em um comunicado.

Isso pode funcionar como um backdoor e levar à possibilidade de um ator malicioso ser capaz de carregar e sobrescrever arquivos no dispositivo.

O backdoor reverso proporciona conectividade automática a um endereço IP codificado diretamente a partir dos dispositivos Contec CMS8000, permitindo ao dispositivo baixar e executar arquivos remotos não verificados.

Registros publicamente disponíveis mostram que o endereço IP não está associado a um fabricante de dispositivos médicos ou a uma instalação médica, mas sim a uma universidade terceirizada.

Outras duas vulnerabilidades identificadas nos dispositivos são listadas abaixo:

- CVE-2024-12248 (pontuação CVSS v4: 9.3) - Uma vulnerabilidade de escrita fora dos limites que poderia permitir a um atacante enviar solicitações UDP especialmente formatadas, a fim de escrever dados arbitrários, resultando na execução de código remoto.

- CVE-2025-0683 (pontuação CVSS v4: 8.2) - Uma vulnerabilidade de vazamento de privacidade que faz com que os dados do paciente em texto simples sejam transmitidos para um endereço IP público codificado diretamente quando o paciente está conectado ao monitor.

A exploração bem-sucedida do CVE-2025-0683 poderia permitir que o dispositivo com esse endereço IP não especificado ganhasse acesso a informações confidenciais do paciente ou abrisse a porta para um cenário de adversário no meio (AitM).

As falhas de segurança afetam os seguintes produtos:

-Monitor de Paciente CMS8000: Versão do firmware smart3250-2.6.27-wlan2.1.7.cramfs;
-Monitor de Paciente CMS8000: Versão do firmware CMS7.820.075.08/0.74(0.75) ;
-Monitor de Paciente CMS8000: Versão do firmware CMS7.820.120.01/0.93(0.95);
-Monitor de Paciente CMS8000: Todas as versões ( CVE-2025-0626 e CVE-2025-0683 ).

"Essas vulnerabilidades de cibersegurança podem permitir que atores não autorizados burlassem controles de cibersegurança, ganhando acesso e potencialmente manipulando o dispositivo," disse a FDA, acrescentando que "não tem conhecimento de nenhum incidente cibernético, lesões ou mortes relacionadas a essas vulnerabilidades de cibersegurança até o momento."

Considerando que essas vulnerabilidades permanecem sem correção, a CISA está recomendando que as organizações desconectem e removam quaisquer dispositivos Contec CMS8000 de suas redes.

Vale ressaltar que os dispositivos também são remarcados e vendidos sob o nome Epsimed MN-120.

Também é aconselhável verificar os monitores de pacientes quanto a quaisquer sinais de funcionamento incomum, como "inconsistências entre os sinais vitais do paciente mostrados e o estado físico real do paciente."

O Monitor de Paciente CMS8000 é fabricado pela Contec Medical Systems, um desenvolvedor de dispositivos médicos localizado em Qinhuangdao, China.

Em seu site, a empresa afirma que seus produtos são aprovados pela FDA e distribuídos para mais de 130 países e regiões.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...