Contec Health CMS8000 Monitor de pacientes

enero 31, 2025

1. Resumen ejecutivo

CVSS V4 9.3
ATENCIÓN: Explotable de forma remota/baja complejidad de ataque
Proveedor: Contec Health
Equipo: Monitor de pacientes CMS8000
Vulnerabilidades: Escritura fuera de los límites, funcionalidad oculta (puerta trasera), fuga de privacidad

2. Evaluación de riesgos

La explotación exitosa de estas vulnerabilidades podría permitir que un atacante envíe de forma remota solicitudes UDP especialmente formateadas o se conecte a una red externa desconocida que les permitiría escribir datos arbitrarios, lo que resulta en una ejecución de código remoto. El dispositivo también puede filtrar información del paciente y datos del sensor a la misma red externa desconocida. Es posible la explotación simultánea de todos los dispositivos vulnerables en una red compartida.

La Administración de Alimentos y Medicamentos (FDA) ha publicado un comunicación de seguridad en relación con estas vulnerabilidades.

CISA es lanzado en theadditional Hoja informativa para CVE-2025-0626 y CVE-2025-0683.

3. Detalles técnicos

3.1 Productos afectados

Los siguientes productos Contec Health se ven afectados:

Monitor de pacientes CMS8000: Versión de firmware SMART3250-2.6.27-Wlan2.1.7.cramfs
Monitor de pacientes CMS8000: Versión de firmware CMS7.820.075.08/0.74 (0.75)
Monitor de pacientes CMS8000: Versión de firmware CMS7.820.120.01/0.93 (0.95)
Monitor de pacientes CMS8000: todas las versiones (CVE-2025-0626, CVE-2025-0683)

3.2 Descripción general de vulnerabilidad

3.2.1 Fuera de los límites Escribir CWE-787

El producto afectado es vulnerable a una escritura fuera de los límites, lo que podría permitir que un atacante envíe solicitudes UDP especialmente formateadas para escribir datos arbitrarios. Esto podría dar lugar a la ejecución de código remoto.

CVE-2024-12248 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 9.8; La cadena de vector CVSS es (AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H).

Saber más Múltiples vulnerabilidades del kernel de Debian Linux

También se ha calculado una puntuación CVSS V4 paraCVE-2024-12248. Se ha calculado una puntuación base de 9.3; La cadena de vector CVSS es (CVSS: 4.0/AV: N/AC: L/AT: N/PR: N/UI: N/VC: H/VI: H/VA: H/SC: N/SI: N/SA: N).

3.2.2 Funcionalidad oculta (puerta trasera) CWE-912

El producto afectado envía solicitudes de acceso remoto a una dirección IP codificada, evitando la configuración de red de dispositivos existente para hacerlo. Esto podría servir como puerta trasera y conducir a que un actor malicioso pueda cargar y sobrescribir archivos en el dispositivo.

CVE-2025-0626 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS V3.1 de 7.5; La cadena de vector CVSS es (AV: N/AC: H/PR: N/UI: R/S: U/C: H/I: H/A: H).

También se ha calculado una puntuación CVSS V4 paraCVE-2025-0626. Se ha calculado una puntuación base de 7.7; La cadena de vector CVSS es (CVSS: 4.0/AV: N/AC: L/AT: P/PR: N/UI: P/VC: H/VI: H/VA: H/SC: N/SI: N/SA: N).

3.2.3 Exposición de información personal privada a un actor no autorizado (fuga de privacidad) CWE-359

En su configuración predeterminada, el producto afectado transmite datos de pacientes con texto sencillo a una dirección IP pública codificada cuando un paciente está conectado al monitor. Esto podría conducir a una fuga de datos confidenciales de pacientes a cualquier dispositivo con esa dirección IP o un atacante en un escenario de máquina en el medio.

CVE-2025-0683 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 5.9; La cadena de vector CVSS es (AV: N/AC: H/PR: N/UI: N/S: U/C: H/I: N/A: N).

También se ha calculado una puntuación CVSS V4 paraCVE-2025-0683. Se ha calculado una puntuación base de 8.2; La cadena de vector CVSS es (CVSS: 4.0/AV: N/AC: L/AT: P/PR: N/UI: N/VC: H/VI: N/VA: N/SC: N/SI: N/SA: N).

Saber más ADVERTENCIA: VULNERABILIDADES CRÍTICAS EN VARIOS PRODUCTOS NAS DE QNAP

3.3 Antecedentes

Sectores de infraestructura crítica: Salud y salud pública
Países/áreas desplegadas: Mundial
Ubicación de la sede de la empresa: Porcelana

3.4 investigador

Un investigador anónimo informó estas vulnerabilidades a CISA.

4. Mitigaciones

Por recomendación de la FDA, CISA recomienda que los usuarios eliminen los dispositivos Contec CMS8000 de sus redes.

Tenga en cuenta que este dispositivo puede volver a etiquetar y vender por revendedores. Para obtener una lista de dispositivos reconstruidos conocidos, consulte la FDA comunicación de seguridad.

CISA recomienda que los usuarios tomen medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades, como:

Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, asegurando que sean No es accesible desde Internet.
Localice las redes de sistemas de control y los dispositivos remotos detrás de los firewalls y aislarlos de las redes comerciales. Actualice las reglas de firewall para evitar el acceso a dispositivos potencialmente afectados.
Si la red está conectada, asegúrese de que todos los dispositivos médicos estén en una subred de bajo privilegio separada.
Solo use fabricantes de confianza para sistemas críticos de seguridad.

CISA recuerda a las organizaciones que realicen un análisis de impacto adecuado y una evaluación de riesgos antes de implementar medidas defensivas.

CISA también proporciona una sección para Control Sistemas Seguridad Prácticas recomendadas en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para leer y descargar, incluida Mejora de los sistemas de control industrial Ciberseguridad con estrategias de defensa en profundidad.

CISA alienta a las organizaciones a implementar estrategias recomendadas de ciberseguridad para Defensa proactiva de los activos del ICS.

Saber más Administrador mySCADA myPRO | CISA

La orientación de mitigación adicional y las prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics En el documento de información técnica, ICS-TIP-12-146-01B-Detección de intrusión cibernética dirigida a estrategias.

Las organizaciones que observan sospecha de actividad maliciosa deben seguir procedimientos internos establecidos e informes de informes a CISA para el seguimiento y la correlación contra otros incidentes.

No se ha informado de explotación pública conocida específicamente estas vulnerabilidades a CISA en este momento.

5. Historial de actualización

30 de enero de 2025: publicación inicial

Source link