La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) y la Administración de Alimentos y Medicamentos (FDA) han emitido alertas sobre la presencia de funcionalidad oculta en Contec CMS8000 Monitores de pacientes y Epsimed MN-120 Monitores de pacientes.
El vulnerabilidadrastreado como CVE-2025-0626lleva una puntuación CVSS V4 de 7.7 en una escala de 10.0. El defecto, junto con otros dos problemas, fue informado a CISA por un investigador externo anónimo.
“El producto afectado envía solicitudes de acceso remoto a una dirección IP codificada, evitando la configuración de red de dispositivos existentes para hacerlo”, CISA dicho en un aviso. “Esto podría servir como puerta trasera y conducir a que un actor malicioso pueda cargar y sobrescribir archivos en el dispositivo”.
“La puerta trasera inversa proporciona conectividad automatizada a una dirección IP codificada de los dispositivos Contec CMS8000, lo que permite que el dispositivo descargue y ejecute archivos remotos no verificados. Los registros disponibles públicamente muestran que la dirección IP no está asociada con un fabricante de dispositivos médicos o un centro médico pero una universidad de terceros “.
A continuación se enumeran otras dos vulnerabilidades identificadas en los dispositivos.
- CVE-2024-12248 (Puntuación CVSS V4: 9.3): una vulnerabilidad de escritura fuera de los límites que podría permitir que un atacante envíe solicitudes UDP especialmente formateadas para escribir datos arbitrarios, lo que resulta en la ejecución de código remoto
- CVE-2025-0683 (Puntuación CVSS V4: 8.2): una vulnerabilidad de fuga de privacidad que hace que los datos del paciente con texto simple se transmitan a una dirección IP pública codificada cuando el paciente está conectado al monitor
La explotación exitosa de CVE-2025-0683 podría permitir que el dispositivo con esa dirección IP no especificada obtenga acceso a la información confidencial del paciente o abra la puerta a un escenario adversario en el medio (AITM).
Los agujeros de seguridad afectan los siguientes productos –
- Monitor de pacientes CMS8000: Versión de firmware SMART3250-2.6.27-Wlan2.1.7.cramfs
- Monitor de pacientes CMS8000: Versión de firmware CMS7.820.075.08/0.74 (0.75)
- Monitor de pacientes CMS8000: Versión de firmware CMS7.820.120.01/0.93 (0.95)
- Monitor de pacientes CMS8000: todas las versiones (CVE-2025-0626 y CVE-2025-0683)
“Estas vulnerabilidades de ciberseguridad pueden permitir a los actores no autorizados que omitan los controles de ciberseguridad, obteniendo acceso y potencialmente manipulando el dispositivo”, la FDA dichoagregando que “no es consciente de ningún incidente de ciberseguridad, lesiones o muertes relacionadas con estas vulnerabilidades de ciberseguridad en este momento”.
Dado que estas vulnerabilidades siguen sin parches, CISA recomienda que las organizaciones desconecten y eliminen los dispositivos Contec CMS8000 de sus redes. Vale la pena señalar que los dispositivos también se vuelven a etiquetar y se venden bajo el nombre Epsimed MN-120.
También se recomienda verificar los monitores del paciente cualquier signo de funcionamiento inusual, como “inconsistencias entre los vitales del paciente mostrado y el estado físico real del paciente”.
El monitor de pacientes CMS8000 es fabricado por Contec Medical Systems, un desarrollador de dispositivos médicos que se encuentran en Qinhuangdao, China. En su sitio web, la empresa reclamos Sus productos están aprobados por la FDA y se distribuyen a más de 130 países y regiones.
About the Author
