ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Gıda ve İlaç İdaresi (FDA), CONTEC CMS8000 hasta monitörlerinde ve EPSIMED MN-120 hasta monitörlerinde gizli işlevselliğin varlığı hakkında uyarılar yayınladı.
Güvenlik açığı, CVE-2025-062610.0 ölçeğinde 7.7 CVSS V4 puanı taşır. Kusur, diğer iki konunun yanı sıra, anonim bir dış araştırmacı tarafından CISA’ya bildirildi.
CISA, “Etkilenen ürün, mevcut cihaz ağı ayarlarını atlayarak sabit kodlu bir IP adresine uzaktan erişim istekleri gönderir.” Dedi. “Bu bir arka kapı görevi görebilir ve bir kötü niyetli aktörün cihaza dosyaları yükleyebilmesine ve üzerine yazabilmesine yol açabilir.”
“Ters arka kapı, Contec CMS8000 cihazlarından sabit kodlu bir IP adresine otomatik bağlantı sağlar ve cihazın doğrulanmamış uzak dosyaları indirmesine ve yürütmesine izin verir. Herkese açık kayıtlar, IP adresinin bir tıbbi cihaz üreticisi veya tıbbi tesisle ilişkili olmadığını gösterir Ama üçüncü taraf bir üniversite. “
Cihazlardaki tanımlanmış diğer iki güvenlik açığı aşağıda listelenmiştir –
- CVE-2024-12248 (CVSS V4 Puanı: 9.3)-Bir saldırganın keyfi verileri yazmak için özel olarak biçimlendirilmiş UDP istekleri göndermesine izin verebilecek ve uzaktan kod yürütmesine neden olabilecek sınır dışı bir yazma güvenlik açığı
- CVE-2025-0683 (CVSS V4 Puanı: 8.2)-Hasta monitöre takıldığında düz metin hasta verilerinin sabit kodlu bir genel IP adresine iletilmesine neden olan bir gizlilik sızıntısı güvenlik açığı
CVE-2025-0683’ün başarılı bir şekilde kullanılması, bu belirtilmemiş IP adresine sahip cihazın gizli hasta bilgilerine erişmesine veya ortadaki düşman (AITM) senaryosunun kapısını açmasına izin verebilir.
Güvenlik delikleri aşağıdaki ürünleri etkiler –
- CMS8000 Hasta Monitörü: Ürün yazılımı sürümü Smart3250-2.6.27-wlan2.1.7.cramfs
- CMS8000 Hasta Monitörü: Bellenim sürümü CMS7.820.075.08/0.74 (0.75)
- CMS8000 Hasta Monitörü: Bellenim sürümü CMS7.820.120.01/0.93 (0.95)
- CMS8000 Hasta Monitörü: Tüm sürümler (CVE-2025-0626 ve CVE-2025-0683)
FDA, “Bu siber güvenlik güvenlik açıkları, yetkisiz aktörlerin siber güvenlik kontrollerini atlamasına, cihaza erişmesine ve potansiyel olarak manipüle etmesine izin verebilir.” Dedi. “
Bu güvenlik açıklarının açılmadığı göz önüne alındığında, CISA kuruluşların CMS8000 cihazlarını ağlarından çıkarmasını ve kaldırmasını önermektedir. Cihazların da yeniden etiketlendiğini ve EPSimed MN-120 adı altında satıldığını belirtmek gerekir.
Ayrıca, hasta monitörlerini “görüntülenen hasta hayati ve hastanın gerçek fiziksel durumu arasındaki tutarsızlıklar” gibi alışılmadık işlev belirtileri açısından kontrol etmeniz önerilir.
CMS8000 hasta monitörü, Çin, Qinhuangdao’da bulunan tıbbi cihazların geliştiricisi olan Contec Medical Systems tarafından üretilmektedir. Şirket, web sitesinde ürünlerinin FDA onaylı olduğunu ve 130’dan fazla ülke ve bölgeye dağıtıldığını iddia ediyor.