Contec Health’in CMS8000 hasta monitöründe önemli siber güvenlik ve hasta güvenliği riskleri oluşturan yeni bir kritik güvenlik açıkları tespit edilmiştir. 9.3 CVSS V4 baz puanı alan bu güvenlik açıkları, düşük saldırı karmaşıklığı ile uzaktan sömürüye izin verir. Tespit edilen güvenlik sorunları, sınır dışı bir yazma güvenlik açığı, gizli bir işlevsellik (arka kapı) ve gizlilik sızıntısı içerir. Bu kusurlar uzaktan kod yürütülmesine, yetkisiz dosya yüklemelerine ve hassas hasta verilerinin maruz kalmasına yol açabilir.
Hem Siber Güvenlik hem de Altyapı Güvenlik Ajansı (CISA) hem de Gıda ve İlaç İdaresi (FDA), sağlık ortamlarında büyük ölçekli sömürü potansiyelini vurgulayarak bu riskleri ele alan güvenlik iletişimi yayınlamıştır.
Arka plan
- Kritik Altyapı Sektörü: Sağlık ve Halk Sağlığı
- Global Dağıtım: CMS8000 hasta monitörü dünya çapında kullanılır.
- Üretici: Conteec Health, merkezi Çin’de.
- Araştırmacı: Anonim bir güvenlik araştırmacısı bu güvenlik açıklarını CISA’ya bildirdi.
Risk değerlendirmesi
Bu güvenlik açıklarının başarılı bir şekilde kullanılması, kötü amaçlı bir aktörün özel hazırlanmış UDP istekleri göndermesini sağlayarak keyfi veri yazmalarına izin verebilir. Bu, uzaktan kod yürütme, hasta bilgilerine yetkisiz erişim ve hatta cihaz işlevselliğini manipüle etme yeteneğine neden olabilir. Ayrıca, cihazın hasta ve sensör verilerini bilinmeyen bir harici ağa sızdırdığı ve güvenlik endişelerini daha da artırdığı bulunmuştur.
Bu güvenlik açıklarının özellikle bir yönü, paylaşılan bir ağ içindeki etkilenen tüm cihazların eşzamanlı olarak kullanılmasının mümkün olmasıdır. Bu, tek bir sağlık tesisinde birden fazla hasta monitörünü tehlikeye atabilecek koordineli siber saldırılar riskini arttırır.
Bu riskleri azaltmak için, hem FDA hem de CISA, güvenlik açıklarını ve önerilen güvenlik önlemlerini detaylandıran yönergeler ve gerçek sayfaları yayınladı.
Teknik detaylar
Etkilenen ürünler
Güvenlik açıkları, CMS8000 hasta monitörünün aşağıdaki ürün yazılımı sürümlerini etkiler:
- Smart3250-2.6.27-wlan2.1.7.cramfs
- CMS7.820.075.08/0.74 (0.75)
- CMS7.820.120.01/0.93 (0.95)
- Tüm ürün yazılımı sürümleri (CVE-2025-0626, CVE-2025-0683)
Güvenlik Açıklarına Genel Bakış
1. Sınır dışı yazma (CWE-787)
- CVE-2024-12248
- Bir saldırganın, keyfi veriler yazan özel olarak biçimlendirilmiş UDP istekleri göndermesine ve potansiyel olarak uzaktan kod yürütmesine yol açmasına izin verir.
- CVSS V3.1 Temel Puanı: 9.8
- CVSS V4 Taban Puanı: 9.3
2. Gizli işlevsellik (arka kapı) (CWE-912)
- CVE-2025-0626
- Cihaz, ağ ayarlarını atlayarak sabit kodlu bir IP adresine uzaktan erişim isteklerini gönderir. Bu, yetkisiz aktörlerin monitördeki dosyaları yüklemesine ve üzerine yazmasına izin verebilir.
- CVSS V3.1 Temel Puanı: 7.5
- CVSS V4 Taban Puanı: 7.7
3. Gizlilik sızıntısı (CWE-359)
- CVE-2025-0683
- Varsayılan yapılandırmada, monitör düz metin hasta verilerini sabit kodlu bir genel IP adresine ileterek gizli bilgilerin potansiyel olarak maruz kalmasına yol açar.
- CVSS V3.1 Temel Puanı: 5.9
- CVSS V4 Taban Puanı: 8.2
Azaltma önlemleri
Bu güvenlik açıklarının yüksek ciddiyeti göz önüne alındığında, FDA ve CISA, güvenli bir yama bulunana kadar etkilenen CMS8000 hasta monitörlerini ağlardan çıkarmayı şiddetle tavsiye eder. Ayrıca, kuruluşlar aşağıdaki güvenlik önlemlerini uygulamalıdır:
- Ağ maruziyetini kısıtlayın: Hasta monitörleri de dahil olmak üzere tüm tıbbi cihazların internetten erişilemediğinden emin olun.
- Güvenlik Duvarları Kullanın: Etkilenen cihazları güvenlik duvarlarının arkasına yerleştirin ve bunları iş ağlarından izole edin.
- Güvenlik Duvarı Kurallarını Güncelle: Etkilenen cihazlara yetkisiz erişimi ve bilinmeyen IP adresleriyle harici iletişimi engelleyin.
- Alt ağ segmentasyonu: Tıbbi cihazların ayrı, düşük ayrı bir ağ segmentinde bulunduğundan emin olun.
- Güvenilir üreticilerden kaynak ekipman: CMS8000’in yine de güvenlik açıkları içerebilen yeniden markalı veya yeniden satılan sürümlerini kullanmaktan kaçının.
CISA CSAF Deposu ve Oasis CSAF 2.0 Standardı
Güvenlik otomasyonunu geliştirmek ve azaltma çabalarını hızlandırmak için CISA, CSAF deposu aracılığıyla makine tarafından okunabilen formatta mevcut güvenlik danışmanları yaptı. Bu depo, OASIS CSAF 2.0 standardını takip ederek kuruluşların yapılandırılmış bir şekilde tavsiyelerde bulunmasına ve yanıt sürelerini azaltmasına izin verir.
OASIS CSAF Teknik Komitesi, CSAF’ı makine tarafından okunabilen bir formatta paylaşmak için standart bir yaklaşım olarak geliştirdi, daha hızlı iyileştirmeyi kolaylaştırdı ve genel siber güvenlik esnekliğini artırdı. Satıcılar ve siber güvenlik uzmanları, güvenlik tehditleri ve güvenlik açıkları konusunda güncel kalmak için bu kaynaktan yararlanmaya teşvik edilir.
Sağlık kuruluşları, etkilenen cihazları ağlarından kaldırarak, katı erişim kontrolleri uygulayarak ve siber güvenlik en iyi uygulamalarından yararlanarak bu riskleri azaltmak için hızlı hareket etmelidir. Ayrıca, üreticiler güvenlik güncellemelerine öncelik vermeli ve kritik tıbbi cihazların güvenliğini sağlamalıdır.
CISA ve FDA durumu izlemeye ve gerektiğinde güncellenmiş güvenlik önerileri sunmaya devam edecektir. Kuruluşlar, tıbbi altyapılarını ortaya çıkan siber tehditlere karşı güvence altına almak için uyanık ve proaktif kalmaya teşvik edilmektedir.