A agência de segurança de segurança cibernética e infraestrutura dos EUA divulgou recentemente um relatório de investigação envolvendo três versões de firmware usadas em um sistema de monitoramento de pacientes chamado Contec CMS8000, usado em hospitais e instalações de saúde. Descobriu-se que esses dispositivos tinham um backdoor com um endereço IP codificado, permitindo que os dados do paciente fossem transmitidos. Isso é possível, pois os dispositivos permitirão uma conexão com um sistema de monitoramento central por meio de uma rede com fio ou sem fio, de acordo com a descrição do produto.
A agência revelou os códigos que transmitem dados para um endereço IP específico. Esses dados decodificados contêm informações detalhadas, como nome do médico, pacientes, departamento hospitalar, data de admissão, data de nascimento e outras informações sobre as pessoas que usaram este dispositivo. Essa vulnerabilidade é arquivada no CVE-2025-0626 com uma pontuação CVSS V4 de 7,7 em 10. Duas outras vulnerabilidades foram arquivadas de acordo com o CVE-2024- 12248, o que indica que pode permitir que um invasor escreva dados remotamente para executar um código, e CVE-2025-0683, que se refere à vulnerabilidade à privacidade.
“Essas vulnerabilidades de segurança cibernética podem permitir que os atores não autorizados ignorem os controles de segurança cibernética, obtendo acesso e potencialmente manipulando o dispositivo”, disse o FDA, acrescentando que “não está ciente de nenhum incidente de segurança cibernética, lesões ou mortes relacionadas a essas vulnerabilidades de segurança cibernética nesse momento. “
A agência mencionou que a Contec Medical Systems é um fabricante de dispositivos médicos com sede na China, cujos produtos estão em hospitais, clínicas e outras instalações de saúde na União Europeia e nos Estados Unidos. No entanto, uma pesquisa rápida revelou que elas também podem ser adquiridas no eBay por US $ 599. Esses dispositivos também são relacionados como EPSIMed MN-120, de acordo com o FDA. O CONTEC é um dos principais fabricantes de dispositivos médicos vendidos em mais de 130 países e são aprovados pela FDA. A equipe de pesquisa da CISA descobriu recentemente essa vulnerabilidade como parte de seu processo de divulgação de vulnerabilidades coordenadas.
A agência menciona que o endereço IP não está associado a nenhum fabricante de dispositivos médicos. Ainda assim, é uma universidade de terceiros, embora não mencione a universidade, o endereço IP ou o país para o qual está enviando dados. O CISA também descartou que essa codificação deveria ser um sistema de atualização alternativo, pois não contém procedimentos de atualização padrão, como rastrear versões atualizadas ou fazer verificações de integridade. Em vez disso, ele possui o arquivo remoto compartilhado e transmitido para o endereço IP. Como solução para um dispositivo em rede, o FDA recomenda fortemente a desconexão do dispositivo de monitoramento de sua rede e monitorando as estatísticas vitais e a condição física do paciente.
Quebra de privacidade e informações confidenciais
O Contec CMS8000 monitora explicitamente os sinais vitais de um paciente, enquanto armazena seus dados em grande detalhe, incluindo eletrocardiograma, freqüência cardíaca, oxigênio no sangue, pressão arterial, taxa de respiração e muitos outros. Isso levantará preocupações de privacidade, pois o FDA divulgou um aviso que implica que eles e as instalações médicas desconhecem seu objetivo. Segundo o relatório, o CONTEC ainda não abordou o assunto e ainda não lançou nenhum firmware para corrigir isso.
Muitos dispositivos em rede foram relatados como tendo vulnerabilidades, não sendo exclusivamente de uma empresa chinesa. No entanto, dado o papel principal de tais dispositivos, a due diligence, as verificações e as divulgações serão vitais. Mesmo que os dados sejam transmitidos à universidade, independentemente de sua localização, e como o relatório implica nem o FDA nem os hospitais estão cientes desse backdoor, ele viola a privacidade de todo paciente e médico, não limitado a uma região. Houve vários ataques cibernéticos da China desde janeiro e preocupações envolvendo TP-Link, o que naturalmente aumentaria o problema com esses dispositivos.