هشدار CISA و FDA در مورد درب پشتی بحرانی در مانیتورهای Contec مدل CMS8000 در رابطه با علائم حیاتی بیمار

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) و سازمان غذا و دارو (FDA) هشدارهایی درباره وجود عملکرد پنهان در مانیتورهای Contec  مدل CMS8000 و مانیتورهای  Epsimed MN-120 بیمارصادر کرده‌اند.

این آسیب‌پذیری با شناسه CVE-2025-0626 ، دارای امتیاز CVSS v4 7.7 در مقیاس 10.0 می باشد. این نقص، در کنار دو موضوع دیگر، توسط یک محقق خارجی ناشناس به CISA گزارش داده شد.

CISA در مشاوره ای گفت: "محصول آسیب دیده، درخواست های دسترسی از راه دور را به یک آدرس IP رمزگذاری شده ارسال می کند و برای انجام این کار تنظیمات شبکه دستگاه موجود را دور می زند." "که می تواند به عنوان یک درب پشتی عمل کند و منجر شود که یک بدخواه بتواند فایل ها را روی دستگاه، آپلود و بازنویسی کند."

دو آسیب‌پذیری شناسایی‌شده دیگر در دستگاه‌ها در زیر فهرست شده‌اند:

• CVE-2024-12248 (امتیاز CVSS v4: 9.3) - یک آسیب‌پذیری نوشتن خارج از مرز که می‌تواند این امکان را به مهاجم بدهد تا درخواست‌های UDP با فرمت خاص را برای نوشتن داده‌های دلخواه ارسال کند و منجر به اجرای کد از راه دور شود.
• CVE-2025-0683 (امتیاز CVSS v4: 8.2) - آسیب‌پذیری نشت حریم خصوصی که باعث می‌شود وقتی بیمار به مانیتور متصل می‌شود، داده‌های متن ساده بیمار به یک آدرس IP عمومی با کدنویسی  سخت منتقل شود.

بهره برداری موفقیت آمیز از آسیب پذیری CVE-2025-0683 می تواند به دستگاهی با آدرس IP نامشخص اجازه دهد تا به اطلاعات محرمانه بیمار دسترسی داشته باشد یا دری را به روی (AitM) باز کند.

حفره های امنیتی، محصولات زیر را تحت تأثیر قرار می دهند:

• CMS8000 Patient Monitor: نسخه سفت‌افزار smart3250-2.6.27-wlan2.1.7.cramfs
• CMS8000 Patient Monitor: نسخه سفت‌افزار CMS7.820.075.08/0.74 (0.75)
• CMS8000 Patient Monitor: نسخه سفت‌افزار CMS7.820.120.01/0.93 (0.95)
• مانیتور بیمار CMS8000: همه نسخه ها (CVE-2025-0626 و CVE-2025-0683)

به گفته FDA: «این آسیب‌پذیری‌های امنیت سایبری می‌توانند به بدخواهان احراز هویت نشده اجازه دهند تا کنترل‌های امنیت سایبری را دور بزنند، به دستگاه دسترسی پیدا کنند و به طور بالقوه آن را دستکاری نمایند. "

با توجه به اینکه این آسیب‌پذیری‌ها بدون وصله باقی ماندند، CISA توصیه می‌کند که سازمان‌ها دستگاه‌های Contec CMS8000 را از شبکه خود جدا کرده و حذف کنند. شایان ذکر است که این دستگاه ها نیز مجدداً برچسب گذاری شده و با نام Epsimed MN-120 به فروش می رسند.

همچنین توصیه می‌شود که مانیتورهای بیمار را برای هر گونه نشانه‌ای از عملکرد غیرعادی، مانند "ناهماهنگی بین عناصر حیاتی نمایش داده شده بیمار و وضعیت فیزیکی واقعی بیمار" بررسی کنید.

مانیتور مدل CMS8000 بیمار توسط سیستم های پزشکی Contec، توسعه دهنده دستگاه های پزشکی که در Qinhuangdao، چین قرار دارد، تولید می شود. این شرکت در وب سایت خود، ادعا می کند که محصولاتش مورد تایید FDA هستند و در بیش از 130 کشور و منطقه توزیع شده اند.

منبع:

https://thehackernews.com/2025/01/cisa-and-fda-warn-of-critical-backdoor.html