A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e a Administração de Alimentos e Medicamentos (FDA) emitiram alertas sobre a presença de funcionalidades ocultas nos monitores de pacientes Contec CMS8000 e Epsimed MN-120.
A vulnerabilidade, identificada como
CVE-2025-0626
, recebeu uma pontuação CVSS v4 de 7.7 em uma escala de 10.0.
A falha, juntamente com outros dois problemas, foi relatada à CISA por um pesquisador externo anônimo.
"Ao enviar solicitações de acesso remoto para um endereço IP codificado diretamente, o produto afetado ignora as configurações de rede do dispositivo existentes para fazer isso," disse a CISA em um comunicado.
Isso pode funcionar como um backdoor e levar à possibilidade de um ator malicioso ser capaz de carregar e sobrescrever arquivos no dispositivo.
O backdoor reverso proporciona conectividade automática a um endereço IP codificado diretamente a partir dos dispositivos Contec CMS8000, permitindo ao dispositivo baixar e executar arquivos remotos não verificados.
Registros publicamente disponíveis mostram que o endereço IP não está associado a um fabricante de dispositivos médicos ou a uma instalação médica, mas sim a uma universidade terceirizada.
Outras duas vulnerabilidades identificadas nos dispositivos são listadas abaixo:
-
CVE-2024-12248
(pontuação CVSS v4: 9.3) - Uma vulnerabilidade de escrita fora dos limites que poderia permitir a um atacante enviar solicitações UDP especialmente formatadas, a fim de escrever dados arbitrários, resultando na execução de código remoto.
-
CVE-2025-0683
(pontuação CVSS v4: 8.2) - Uma vulnerabilidade de vazamento de privacidade que faz com que os dados do paciente em texto simples sejam transmitidos para um endereço IP público codificado diretamente quando o paciente está conectado ao monitor.
A exploração bem-sucedida do
CVE-2025-0683
poderia permitir que o dispositivo com esse endereço IP não especificado ganhasse acesso a informações confidenciais do paciente ou abrisse a porta para um cenário de adversário no meio (AitM).
As falhas de segurança afetam os seguintes produtos:
-Monitor de Paciente CMS8000: Versão do firmware smart3250-2.6.27-wlan2.1.7.cramfs;
-Monitor de Paciente CMS8000: Versão do firmware CMS7.820.075.08/0.74(0.75) ;
-Monitor de Paciente CMS8000: Versão do firmware CMS7.820.120.01/0.93(0.95);
-Monitor de Paciente CMS8000: Todas as versões (
CVE-2025-0626
e
CVE-2025-0683
).
"Essas vulnerabilidades de cibersegurança podem permitir que atores não autorizados burlassem controles de cibersegurança, ganhando acesso e potencialmente manipulando o dispositivo," disse a FDA, acrescentando que "não tem conhecimento de nenhum incidente cibernético, lesões ou mortes relacionadas a essas vulnerabilidades de cibersegurança até o momento."
Considerando que essas vulnerabilidades permanecem sem correção, a CISA está recomendando que as organizações desconectem e removam quaisquer dispositivos Contec CMS8000 de suas redes.
Vale ressaltar que os dispositivos também são remarcados e vendidos sob o nome Epsimed MN-120.
Também é aconselhável verificar os monitores de pacientes quanto a quaisquer sinais de funcionamento incomum, como "inconsistências entre os sinais vitais do paciente mostrados e o estado físico real do paciente."
O Monitor de Paciente CMS8000 é fabricado pela Contec Medical Systems, um desenvolvedor de dispositivos médicos localizado em Qinhuangdao, China.
Em seu site, a empresa afirma que seus produtos são aprovados pela FDA e distribuídos para mais de 130 países e regiões.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...