top of page

CISA e FDA Alertam Sobre Backdoor Crítico em Monitores de Pacientes Contec CMS8000

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • 2 de fev.
  • 2 min de leitura

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e a Administração de Alimentos e Medicamentos (FDA) emitiram alertas sobre a presença de funcionalidades ocultas nos monitores de pacientes Contec CMS8000 e Epsimed MN-120.


A vulnerabilidade, identificada como CVE-2025-0626, recebeu uma pontuação CVSS v4 de 7.7 e foi relatada anonimamente a CISA. Segundo o alerta, os dispositivos enviam solicitações de acesso remoto para um endereço IP pré-definido, ignorando as configurações de rede existentes. Isso pode servir como um backdoor, permitindo que um invasor faça o upload e sobrescreva arquivos no dispositivo.


Além dessa falha, outras duas vulnerabilidades críticas foram identificadas:

  • CVE-2024-12248 (CVSS 9.3): Permite que um invasor envie requisições UDP especialmente formatadas para gravar dados arbitrários, possibilitando a execução remota de código.

  • CVE-2025-0683 (CVSS 8.2): Expõe dados de pacientes em texto plano, enviando essas informações para um endereço IP público pré-definido, o que pode permitir o acesso não autorizado a informações sigilosas ou facilitar ataques Adversary-in-the-Middle (AitM).


Os produtos afetados incluem diferentes versões do firmware do CMS8000 Patient Monitor, sendo que algumas versões possuem todas as vulnerabilidades listadas.


A FDA alertou que essas falhas podem permitir que hackers burlem controles de segurança, acessem os dispositivos e os manipulem, embora não haja, até o momento, registros de incidentes, ferimentos ou mortes relacionados a esses problemas.


Como não há correções disponíveis, a CISA recomendou que as organizações removam imediatamente os dispositivos Contec CMS8000 de suas redes. Os monitores também são vendidos sob a marca Epsimed MN-120, exigindo atenção redobrada.


Outra recomendação é monitorar os dispositivos quanto a sinais de funcionamento incomum, como divergências entre os dados vitais exibidos e o estado real do paciente.


O CMS8000 é fabricado pela Contec Medical Systems, uma empresa chinesa sediada em Qinhuangdao. Segundo o site da empresa, seus produtos possuem aprovação da FDA e são distribuídos para mais de 130 países.


Via - THN

 
 
 

Comments

Parceiros

Cupom 20% de desconto - CYBERSECBRA20 

bottom of page