ABD merkezli Siber Güvenlik ve Altyapı Güvenlik Ajansı yakın zamanda bir Soruşturma raporu Hastanelerde ve sağlık tesislerinde kullanılan Contec CMS8000 adlı bir hasta izleme sisteminde kullanılan üç ürün yazılımı versiyonunu içerir. Bu cihazların sabit kodlu IP adresine sahip bir arka kapıya sahip olduğu ve hasta verilerinin iletilmesine izin verdiği keşfedildi. Ürün açıklamasına göre, cihazlar kablolu veya kablosuz bir ağ aracılığıyla merkezi bir izleme sistemine bağlantı sağlayacağından bu mümkündür.
Ajans, belirli bir IP adresine veri ileten kodları ortaya çıkardı. Bu kod çözülmüş veriler, doktorun adı, hastalar, hastane departmanı, giriş tarihi, doğum tarihi ve bu cihazı kullanan kişiler hakkında diğer bilgiler gibi ayrıntılı bilgiler içerir. Bu güvenlik açığı altında dosyalandı CVE-2025-0626 CVSS V4 skoru ile 10 üzerinden 7.7. CVE-2024- 12248, Bu, bir saldırganın bir kod yürütmek için uzaktan veri yazmasına izin verebileceğini gösterir ve CVE-2025-0683, gizlilik güvenlik açığı ile ilgilidir.
“Bu siber güvenlik açıkları, yetkisiz aktörlerin siber güvenlik kontrollerini atlamasına, cihaza erişmesine ve potansiyel olarak manipüle etmesine izin verebilir.” FDA dedi“şu anda bu siber güvenlik güvenlik açıklarıyla ilgili herhangi bir siber güvenlik olayının, yaralanmanın veya ölümün farkında değil.”
Ajans, Contec Medical Systems’ın ürünleri Avrupa Birliği ve Amerika Birleşik Devletleri’ndeki hastanelerde, kliniklerde ve diğer sağlık tesislerinde olan Çin merkezli bir tıbbi cihaz üreticisi olduğunu belirtti. Ancak, hızlı bir arama, bunların eBay aracılığıyla da satın alınabileceğini ortaya koydu. 599 $. FDA’ya göre bu cihazlar ayrıca EPSIMED MN-120 olarak yeniden etiketlenmiştir. Contec, 130’dan fazla ülkede satılan ve FDA onaylı olan büyük bir tıbbi cihaz üreticisidir. CISA araştırma ekibi yakın zamanda bu güvenlik açığını koordineli güvenlik açığı açıklama sürecinin bir parçası olarak keşfetti.
Ajans, IP adresinin herhangi bir tıbbi cihaz üreticisiyle ilişkili olmadığını belirtiyor. Yine de, üçüncü taraf bir üniversitedir, ancak üniversiteden, IP adresinden veya veri gönderdiği ülkeden bahsetmese de. CISA ayrıca, bu kodlamanın, güncellenmiş sürümleri izleme veya bütünlük kontrolleri yapma gibi standart güncelleme prosedürleri içermediğinden alternatif bir güncelleme sistemi olduğunu belirtti. Bunun yerine, uzak dosya paylaşılır ve IP adresine iletilir. Böyle bir ağa bağlı bir cihaz için bir çözüm olarak FDA, izleme cihazının ağından bağlantısını kesmeyi ve hastanın hayati istatistiklerini ve fiziksel durumunu izlemenizi şiddetle tavsiye eder.
Gizlilik ve gizli bilgilerin ihlali
CONTEC CMS8000, verilerini elektrokardiyogram, kalp atış hızı, kan oksijeni, kan basıncı, solunum hızı ve diğerleri dahil olmak üzere ayrıntılı olarak saklarken bir hastanın hayati belirtilerini açıkça izler. FDA, kendilerinin ve tıbbi tesislerin amacından habersiz olduğunu ima eden bir bildirim yayınladığı için bu gizlilik endişelerini artıracaktır. Rapora göre, Contec konuyu henüz ele almadı ve bunu düzeltmek için herhangi bir ürün yazılımı yayınlamadı.
Birçok ağa bağlı cihazın sadece Çin merkezli bir şirketten değil, güvenlik açıkları olduğu bildirilmiştir. Ancak, bu tür cihazların kilit rolü göz önüne alındığında, durum tespiti, kontroller ve açıklamalar hayati önem taşıyacaktır. Veriler konumuna bakılmaksızın üniversiteye aktarılsa ve rapor ne FDA ne de hastanelerin bu arka kapının farkında olmadığı için, bir bölgeyle sınırlı olmayan her hastanın ve doktorun mahremiyetini ihlal eder. Ocak ayından bu yana Çin’den birden fazla siber saldırı ve bu cihazlarla ilgili sorunu doğal olarak artıracak TP-Link ile ilgili endişeler oldu.
