Американское Агентство кибербезопасности и защиты инфраструктуры недавно опубликовало отчет о расследовании, касающемся трех версий прошивок, используемых в системе мониторинга пациентов Contec CMS8000, применяемой в больницах и медицинских учреждениях. Было обнаружено, что эти устройства имеют черный ход с жестко закодированным IP-адресом, что позволяет передавать данные пациента. Это возможно, поскольку устройства позволяют подключаться к центральной системе мониторинга через проводную или беспроводную сеть, согласно описанию продукта.
Агентство раскрыло коды, которые передают данные на определенный IP-адрес. Расшифрованные данные содержат подробную информацию, такую как имя врача, пациенты, отделение больницы, дата поступления, дата рождения и другие сведения о людях, которые использовали это устройство. Эта уязвимость зарегистрирована под номером CVE-2025-0626 и имеет оценку CVSS v4 7,7 из 10. Еще две уязвимости были зарегистрированы под номерами CVE-2024- 12248, которая указывает на возможность злоумышленника удаленно записать данные для выполнения кода, и CVE-2025-0683, связанная с уязвимостью конфиденциальности.
«Эти уязвимости кибербезопасности могут позволить неавторизованным лицам обойти средства контроля кибербезопасности, получить доступ к устройству и потенциально манипулировать им», - заявили в FDA, добавив, что на данный момент „не известно о каких-либо инцидентах, травмах или смертях, связанных с этими уязвимостями кибербезопасности“.
Агентство упомянуло, что Contec Medical Systems - производитель медицинского оборудования из Китая, чья продукция используется в больницах, клиниках и других медицинских учреждениях в Европейском союзе и США. Однако быстрый поиск показал, что их также можно приобрести на eBay за 599 долларов. По данным FDA, эти устройства также перемаркированы как Epsimed MN-120. Contec - крупный производитель медицинских приборов, которые продаются в более чем 130 странах и одобрены FDA. Исследовательская группа CISA недавно обнаружила эту уязвимость в рамках скоординированного процесса раскрытия уязвимостей.
Агентство отмечает, что IP-адрес не связан ни с одним производителем медицинских устройств. Тем не менее, это сторонний университет, хотя в сообщении не упоминается ни университет, ни IP-адрес, ни страна, в которую он отправляет данные. CISA также исключила, что этот код был задуман как альтернативная система обновления, поскольку он не содержит стандартных процедур обновления, таких как отслеживание обновленных версий или проверка целостности.
Вместо этого удаленный файл разделяется и передается на IP-адрес. В качестве решения для такого сетевого устройства FDA настоятельно рекомендует отключить устройство мониторинга от сети и следить за жизненными показателями и физическим состоянием пациента.
Нарушение конфиденциальности и конфиденциальной информации
Contec CMS8000 четко отслеживает жизненно важные показатели пациента, сохраняя подробные данные, включая электрокардиограмму, частоту сердечных сокращений, содержание кислорода в крови, артериальное давление, частоту дыхания и многое другое. Это вызовет обеспокоенность по поводу конфиденциальности, поскольку FDA выпустило уведомление, подразумевающее, что они и медицинские учреждения не знают о его назначении. Согласно отчету, компания Contec пока не решила эту проблему и не выпустила прошивку для ее устранения.
Сообщалось, что многие сетевые устройства имеют уязвимости, причем не только китайские. Однако, учитывая ключевую роль таких устройств, должная осмотрительность, проверки и раскрытие информации будут крайне важны. Даже если данные передаются в университет независимо от его местонахождения, и поскольку, как следует из отчета, ни FDA, ни больницы не знают об этом бэкдоре, это нарушает конфиденциальность каждого пациента и врача, а не ограничивается одним регионом. С января было совершено несколько кибератак из Китая, в том числе с участием компании TP-Link, что, естественно, обостряет проблему с этими устройствами.
Оригинал
Уникальность
