Bir Çinli şirket tarafından üretilen ve aynı monitör olan ancak yeniden etiketlenmiş, hastaların verilerini sabit kodlu bir IP adresine ve doğrulamayı indirmek ve yürütmek için kullanılabilecek bir arka kapıya sahip olan MN-120’yi EPSIMED MN-120 olan Contec CMS8000 CONTEC CMS8000 Dosyalar, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı onayladı.
“CISA, bu arka kapının monitörün ürün yazılımına dahil edilmesini değerlendirir ve yapılandırmasını değiştirme yeteneği ile uzaktan kod yürütülmesine ve cihaz değişikliğine izin verebilecek koşullar oluşturabilir. Bu, arızalı bir monitör olarak hasta güvenliği için risk getirir, cihaz tarafından sergilenen hayati belirtilere uygunsuz yanıtlara yol açabilir. ”
Savunmasız Contec Hasta Monitörü’nde bir arka kapı
Contec CMS8000, insan hayati belirtilerini izlemek için bir cihazdır ve ABD ve Avrupa Birliği’ndeki sağlık kuruluşlarında ve ortamlarında (örneğin, evlerindeki hastaları izlemek için) yaygın olarak kullanılmaktadır.
Merkezi Çin’in Qinhuangdao kentinde bulunan Contec Medical Systems tarafından üretilmektedir.
İsimsiz bir harici araştırmacı tarafından monitörün beklenmedik işlevlerine geçtikten sonra CISA, ürün yazılımının üç versiyonunu analiz etti ve üç güvenlik açığı buldu:
- Sabit kodlu bir IP adresine otomatik bağlantı sağlayan ve birçoğu, kötü amaçlı aktörlerin cihaza dosyaları yüklemesine ve üzerine yazmasına izin veren ters bir arka kapı (CVE-2025-0626)
- Saldırganların keyfi veriler yazması için cihaza özel olarak biçimlendirilmiş UDP istekleri göndermelerine izin verebilecek ve bu nedenle, potansiyel olarak kötü niyetli kodları uzaktan yürütmelerine izin verebilecek sınırsız bir yazma kusuru (CVE-2024-12248)
- Düz metin hasta verileri (kişisel ve sağlık bilgileri) ve monitör sensör verilerinin toplandığı ve bir hasta monitöre bağlandığında sabit kodlanmış genel IP adresine gönderilen bir güvenlik açığı (CVE-2025-0683).
Kod çözülmüş hasta verileri ikili (Kaynak: CISA)
CISA, “Halka açık kayıtlar, IP adresinin bir tıbbi cihaz üreticisi veya tıbbi tesis ile değil üçüncü taraf bir üniversite ile ilişkili olduğunu gösteriyor” dedi.
Blewing Bilgisayarına göre, IP adresi bir Çin üniversitesine aittir ve Çin’de Çinli bir üretici tarafından yapılan diğer tıbbi ekipmanlar için yazılımlarda da sabit kodlanmıştır.
Cisa, keşfedilen arka kapının “alternatif bir güncelleme mekanizması olması pek olası olmadığını” söylüyor.
“İşlev ne bütünlük denetleme mekanizması ne de güncellemelerin sürüm izlenmesi sağlamıyor. İşlev yürütüldüğünde, cihazdaki dosyalar zorla üzerine yazılır ve son müşterinin – hastane gibi – cihazda hangi yazılımın çalıştığına dair farkındalığı korumasını önler. Bu tür eylemler ve kritik günlük denetim verilerinin eksikliği, genel kabul görmüş uygulamalara karşı çıkıyor ve özellikle tıbbi cihazlar için uygun şekilde yönetilen sistem güncellemeleri için temel bileşenleri görmezden geliyor ”dedi.
Bu belgede arka kapının teknik uygulanması hakkında ek ayrıntılar düzenlenmiştir.
Ne yapalım?
ABD Gıda ve İlaç İdaresi (FDA), “şu anda bu siber güvenlik güvenlik açıklarıyla ilgili herhangi bir siber güvenlik olayının, yaralanmanın veya ölümün farkında olmadığını” söylüyor.
Ajans ayrıca “güvenlik açıklarının, belirli bir ağdaki tüm savunmasız Contec ve EPSIMED hasta monitörlerinin aynı anda sömürülmesine izin verebileceğini” belirtti.
Şu anda bu kusurlar için hiçbir yama olmadığı göz önüne alındığında, FDA sağlık hizmeti sağlayıcılarına olağandışı işlev belirtileri arayışında olmalarını ve gerekli değilse (cihazın Ethernet kablosunu çıkararak ve kablosuz özellikleri devre dışı bırakarak) kapatmalarını tavsiye etti. .
Bu özellikler devre dışı bırakılamazsa, sağlık kuruluşlarının, hastaların ve bakıcıların monitörü kullanmayı bırakmaları ve alternatif bir hasta monitörü bulmaları / istemeleri tavsiye edilir.