В мониторах пациентов Contec CMS8000 нашли скрытую функцию связи с внешним IP

Американские регуляторы CISA и FDA выпустили совместные предупреждения о серьёзных проблемах безопасности в мониторах пациентов Contec CMS8000, которые также продаются под маркой Epsimed MN-120. Устройства производит китайская компания Contec Medical Systems из Циньхуандао — на своём сайте она заявляет, что её продукция одобрена FDA и поставляется более чем в 130 стран мира.

Что нашли

Ключевая уязвимость получила идентификатор CVE-2025-0626 и оценку 7,7 по шкале CVSS v4. О ней, как и о двух других проблемах, CISA сообщил анонимный сторонний исследователь.

«Устройство отправляет запросы на удалённый доступ на жёстко заданный IP-адрес, игнорируя настройки сети. Это может служить бэкдором и позволить злоумышленнику загружать и перезаписывать файлы на устройстве», — говорится в advisory CISA. Ведомство добавило, что этот IP-адрес не связан ни с производителем медтехники, ни с медицинским учреждением — он принадлежит стороннему университету.

Ещё две уязвимости оказались опаснее:

  • CVE-2024-12248 (CVSS v4: 9,3) — ошибка записи за пределами буфера, позволяющая с помощью специально сформированных UDP-запросов записать произвольные данные и выполнить код удалённо;
  • CVE-2025-0683 (CVSS v4: 8,2) — утечка конфиденциальности: пока пациент подключён к монитору, его данные в открытом виде передаются на жёстко заданный публичный IP-адрес. Это может дать злоумышленнику доступ к медицинской информации или создать условия для атаки «противник посередине» (AitM).

Проблемы затрагивают следующие версии прошивок CMS8000: smart3250-2.6.27-wlan2.1.7.cramfs, CMS7.820.075.08/0.74(0.75), CMS7.820.120.01/0.93(0.95), а также все версии в части CVE-2025-0626 и CVE-2025-0683.

FDA заявило, что «эти уязвимости позволяют неавторизованным лицам обходить механизмы кибербезопасности, получая доступ к устройству и потенциально манипулируя им», но подчеркнуло, что на данный момент не располагает сведениями об инцидентах, травмах или смертях, связанных с этими проблемами.

Поскольку патчей пока нет, CISA рекомендует организациям отключать и удалять устройства Contec CMS8000 из сетей, а также следить за признаками нештатной работы мониторов — например, за несоответствием отображаемых показателей жизнедеятельности реальному состоянию пациента.

Бэкдор или просто небезопасный дизайн

После публикации advisory компания по кибербезопасности Claroty провела собственный анализ и пришла к иному выводу: по мнению её исследовательской команды Team82, речь идёт «скорее всего не о скрытом бэкдоре, а о небезопасном, но задокументированном дизайне». Статические IP-адреса 202.114.4.119 и 202.114.4.120 упомянуты в руководстве оператора CONTEC как IP-адрес центральной системы управления (CMS), который организациям следует использовать, — то есть формально это не скрытая функциональность, как утверждала CISA.

«В отсутствие дополнительных данных разведки этот нюанс важен: он говорит об отсутствии злого умысла и меняет приоритеты в устранении проблемы», — отметили в Claroty.

Тем не менее компания подтвердила практическую опасность и посоветовала организациям, использующим CMS8000, блокировать доступ ко всей подсети 202.114.4.0/24 из внутренней сети, применять сегментацию сети и блокировать исходящий трафик на адрес 202.114.4.120, чтобы предотвратить утечку данных пациентов.

Источник: The Hacker News.