SK-CERT Bezpečnostné varovanie V20250131-01

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	9.8

Identifikátor

Contec Health CMS8000 Patient Monitor – kritická bezpečnostná zraniteľnosť

Popis

Bezpečnostní výskumníci zverejnili informácie o troch bezpečnostných zraniteľnostiach v produkte Contec Health CMS8000 Patient Monitor, z ktorých je jedna označená ako kritická. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-12248 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne upravených UDP požiadaviek vykonať škodlivý kód, získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme a spôsobiť zneprístupnenie služby. Bezpečnostné zraniteľnosti s identifikátormi CVE-2025-0626 a CVE-2025-0683 spočívajú v existencii skrytého kódu komunikujúceho s a odosielajúceho citlivé údaje pacientov na IP adresy geolokované v Číne. Predmetné zariadenia môžu byť na trhoch EÚ premenované a predávané aj pod inou značkou.

Dátum prvého zverejnenia varovania

30.1.2025

CVE

CVE-2024-12248, CVE-2025-0626, CVE-2025-0683

IOC

–

Zasiahnuté systémy

CMS8000 Patient Monitor vo verzii firmvéru staršej ako smart3250-2.6.27-wlan2.1.7.cramfs (vrátane) CMS8000 Patient Monitor vo verzii firmvéru staršej ako CMS7.820.075.08/0.74(0.75) (vrátane) CMS8000 Patient Monitor vo verzii firmvéru staršej ako CMS7.820.120.01/0.93(0.95) (vrátane) CMS8000 Patient Monitor vo všetkých verziách firmvéru (CVE-2025-0626, CVE-2025-0683)

Následky

Vykonanie škodlivého kódu Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby

Odporúčania

Vzhľadom na absenciu záplat pre predmetnú zraniteľnosť odporúčame administrátorom sledovať stránku výrobcu a po vydaní bezpečnostných záplat vykonať aktualizáciu zasiahnutých systémov. Zasiahnuté zariadenie odporúčame prevádzkovať úplne oddelené od internetu. Ak je potrebný vzdialený prístup, použite virtuálnu súkromnú sieť (VPN). Administrátorom odporúčame filtrovať sieťovú komunikáciu bezpečnostnými prvkami sieťovej infraštruktúry. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky. Zdravotnícke zariadenia a systémy odporúčame prevádzkovať úplne oddelené od internetu. SK-CERT administrátorom odporúča venovať osobitnú pozornosť aktualizácii firmvéru, nie len aplikačnému softvéru.

Zdroje

https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-030-01 https://www.cisa.gov/news-events/alerts/2025/01/30/cisa-releases-fact-sheet-detailing-embedded-backdoor-function-contec-cms8000-firmware https://www.cisa.gov/resources-tools/resources/contec-cms8000-contains-backdoor https://www.cisa.gov/sites/default/files/2025-01/fact-sheet-contec-cms8000-contains-a-backdoor-508c.pdf https://www.fda.gov/medical-devices/safety-communications/cybersecurity-vulnerabilities-certain-patient-monitors-contec-and-epsimed-fda-safety-communication https://www.bleepingcomputer.com/news/security/backdoor-found-in-two-healthcare-patient-monitors-linked-to-ip-in-china/

« Späť na zoznam