Kritična ranjivost u sajber sigurnosti otkrivena je u monitorima pacijenata Contec CMS8000, otkrivajući ugrađeni maliciozni softver koji predstavlja značajan rizik za sigurnost pacijenata i sigurnost podataka.
Američka agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) izvijestila je da uređaji uključuju backdoor povezan s tvrdo kodiranom IP adresom povezanom s kineskim univerzitetom.
Utvrđeno je da monitor pacijenata Contec CMS8000, koji se široko koristi u bolnicama i zdravstvenim ustanovama, ima tri velike ranjivosti.
Analitičari CISA-e su prijavili sljedeće tri ranjivosti:
1. Zapisivanje izvan granica (CWE-787) :
- Napadači mogu iskoristiti ovu manu slanjem posebno kreiranih UDP zahtjeva, omogućavajući daljinsko izvršavanje koda.
- CVE-2024-12248 je dodijeljen ovoj ranjivosti sa CVSS v4 rezultatom od 9,3, što ukazuje na kritičnu ozbiljnost.
2. Funkcionalnost skrivenog backdoor-a (CWE-912) :
- Firmver uređaja sadrži backdoor koji šalje podatke o pacijentu na tvrdo kodiranu IP adresu i omogućava udaljeno otpremanje datoteka.
- Backdoor izvršava komande kao što
ifconfig eth0 upje omogućavanje mrežnog povezivanja i montira udaljeni NFS dijeljeni na/mnt/. - CVE-2025-0626 je povezan sa ovim problemom, sa CVSS v4 rezultatom od 7,7.
3. Propuštanje privatnosti (CWE-359) :
- Podaci o pacijentima, uključujući imena, ID-ove i medicinske detalje, prenose se u običnom tekstu preko porta 515 na tvrdo kodirani IP.
- Ova ranjivost (CVE-2025-0683) ima CVSS v4 ocjenu 8,2.
Uticaj
Ove ranjivosti omogućavaju napadačima da daljinski izvrše proizvoljan kod na uređajima, eksfiltriraju osjetljive informacije o pacijentu i modifikuju konfiguracije uređaja, što može rezultirati netačnim očitanjima vitalnih znakova.
Ponašanje malicioznog softvera potvrđeno je obrnutim inženjeringom firmvera, koji je otkrio sumnjiv mrežni promet usmjeren na kinesku IP adresu. Značajno je da backdoor zaobilazi mehanizme evidentiranja, što otežava otkrivanje.
Uprkos ponovljenim obavještenjima od CISA-e, Contec Health nije obezbijedio efikasne zakrpe. Ranjivosti i dalje postoje čak iu ažuriranim verzijama firmvera. Bolnicama se savjetuje da pažljivo prate ove uređaje u potrazi za znakovima neovlaštenog neovlaštenog ponašanja.
Forenzička analiza sugeriše da bi ovaj backdoor mogao biti dio širih sajber aktivnosti koje sponzoriše država usmjerenih na zdravstvene sisteme na globalnom nivou. S obzirom da se zdravstvena zaštita sve više oslanja na međusobno povezane uređaje, robusne mjere kibernetičke sigurnosti su kritičnije nego ikad.
CISA i FDA preporučuju hitnu akciju za osiguranje Contec CMS8000 monitora tako što će se isključiti iz mreže, implementirati firewall za blokiranje neovlaštenog pristupa i korištenjem izolacije podmreže za medicinske uređaje.
Osim toga, redovno ažuriranje firmvera i primjena zakrpa kada su dostupne pomažu u smanjenju sigurnosnih rizika .
Izvor: CyberSecurityNews