Publicada enseguridad

Graves vulnerabilidades en monitores de pacientes Contec CMS8000: CISA y FDA advierten sobre fallos críticos

No hay comentariosPublicada enseguridad
Graves vulnerabilidades en monitores de pacientes Contec CMS8000: CISA y FDA advierten sobre fallos críticos

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) y la Administración de Alimentos y Medicamentos (FDA) han emitido una alerta conjunta sobre múltiples vulnerabilidades en los monitores de pacientes Contec CMS8000 y los monitores de pacientes reetiquetados como Epsimed MN-120. La más destacada, catalogada como CVE-2025-0626, tiene una puntuación CVSS v4 de 7,7 sobre 10 y permite el acceso no autorizado al dispositivo.

«El producto afectado envía solicitudes de acceso remoto a una dirección IP codificada, eludiendo para ello la configuración de red existente en el dispositivo», afirmó CISA en un aviso. «Esto podría actuar como una puerta trasera y permitir que un actor malintencionado pueda cargar y sobrescribir archivos en el dispositivo».

Aún más preocupante es que la dirección IP a la que se conectan los dispositivos no está vinculada a un fabricante de dispositivos médicos ni a una institución sanitaria, sino a una universidad de terceros, lo que plantea serias dudas sobre su propósito.

Aunque CISA no mencionó el nombre de la universidad y borró la dirección IP, según BleepingComputer ha descubierto que está asociada a una universidad china. La dirección IP también está codificada en el software de otros equipos médicos, incluido un monitor de embarazo para pacientes de otro fabricante chino de equipos sanitarios.

Otras vulnerabilidades identificadas

Además de la puerta trasera crítica (CVE-2025-0626), se han identificado otras dos vulnerabilidades graves:

  • CVE-2024-12248 (CVSS v4: 9,3): Una vulnerabilidad de escritura fuera de límites, que permite a un atacante enviar solicitudes UDP con formato especial para escribir datos arbitrarios, lo que puede resultar en ejecución remota de código.
  • CVE-2025-0683 (CVSS v4: 8,2): Un fallo de fuga de privacidad que provoca que los datos del paciente en texto plano se transmitan a una dirección IP pública codificada cuando el paciente está conectado al monitor. Esto podría permitir a actores no autorizados acceder a información médica sensible o facilitar ataques de tipo Man-in-the-Middle (AitM).

Los agujeros de seguridad afectan a las siguientes versiones de firmware del CMS8000:

  • smart3250-2.6.27-wlan2.1.7.cramfs
  • CMS7.820.075.08/0.74(0.75)
  • CMS7.820.120.01/0.93(0.95)
  • Todas las versiones (CVE-2025-0626 y CVE-2025-0683)

Medidas de mitigación recomendadas por CISA y FDA

Para pacientes y cuidadores

  • Consultar con el proveedor de salud si el monitor depende de funciones de monitoreo remoto (es decir, si se conecta a internet para transmitir datos a un sistema centralizado).
  • Si el dispositivo depende de monitoreo remoto, desenchufarlo y dejar de usarlo. Se recomienda hablar con el proveedor de salud para buscar una alternativa segura.
  • Si el dispositivo no depende de monitoreo remoto, se debe usar solo con sus funciones locales, desconectando el cable ethernet y deshabilitando WiFi y conexión celular.
  • Si no es posible deshabilitar las conexiones inalámbricas, se recomienda dejar de usarlo inmediatamente y buscar una alternativa.
  • La FDA no tiene constancia de incidentes de ciberseguridad, lesiones o muertes relacionadas con estas vulnerabilidades hasta el momento.
  • Cualquier problema detectado con el monitor de paciente debe ser reportado a la FDA.

Para proveedores de salud

  • Determinar si los monitores Contec CMS8000 utilizados en la instalación pueden estar afectados.
  • Seguir las recomendaciones de la FDA dirigidas a pacientes y cuidadores.
  • Inspeccionar los monitores para detectar anomalías en su funcionamiento, especialmente inconsistencias entre los signos vitales mostrados y el estado real del paciente.
  • Reportar cualquier problema con el monitor de paciente a la FDA.

Para equipos de TI y ciberseguridad en hospitales

  • Utilizar solo las funciones locales del dispositivo.
    • Si el monitor depende de monitoreo remoto, desenchufarlo y dejar de usarlo.
    • Si no depende de monitoreo remoto, desconectar el cable ethernet y deshabilitar WiFi y conexión celular.
    • Si no es posible deshabilitar la conectividad inalámbrica, el dispositivo sigue expuesto a la puerta trasera y a la posible filtración de datos del paciente.
  • No existe actualmente ningún parche de software disponible para mitigar esta vulnerabilidad.
  • Supervisar los monitores para detectar anomalías en su funcionamiento, tales como inconsistencias en los signos vitales del paciente mostrados en la pantalla.
  • Reportar cualquier problema detectado con los monitores de paciente a la FDA.

Impacto en la seguridad del sector sanitario

El uso de dispositivos médicos conectados en hospitales y clínicas ha incrementado exponencialmente en los últimos años, lo que ha convertido la seguridad de estos sistemas en un objetivo prioritario. El hecho de que datos médicos se envíen a una IP no identificada y que exista una puerta trasera incorporada en estos monitores es alarmante. No solo compromete la privacidad de los pacientes, sino que también introduce un vector de ataque para actores maliciosos con intereses más amplios, como ransomware o espionaje.

Este tipo de problemas refuerzan la necesidad de regulaciones más estrictas en torno a la ciberseguridad en dispositivos médicos. Es inaceptable que fabricantes continúen lanzando productos con fallos de seguridad críticos, especialmente cuando afectan a infraestructuras vitales como hospitales y clínicas.

Detalles técnicos del backdoor en Contec CMS8000

Según CISA, el análisis del firmware del Contec CMS8000 reveló la presencia de una puerta trasera que permite la conexión del dispositivo a una dirección IP codificada, registrada a nombre de una universidad, pero sin relación con el fabricante. A continuación, se resumen los detalles técnicos más relevantes de este hallazgo:

  • Montaje de un recurso compartido NFS remoto: El dispositivo intenta conectarse automáticamente a un servidor remoto mediante un comando de montaje NFS. Esto permite que archivos sean copiados desde el servidor a la memoria del dispositivo sin verificación de integridad ni autenticación.
  • Sobrescritura de archivos locales sin validación: El sistema copia archivos de manera recursiva desde el recurso NFS al directorio local del dispositivo (/opt/bin/), sin mecanismos de seguridad que verifiquen el origen, integridad o versión de los archivos reemplazados.
  • Modificación del estado de la interfaz de red: Se identificó un código dentro del binario “monitor” que activa la interfaz de red del dispositivo (eth0) y ejecuta comandos de montaje y copiado de archivos, lo que podría ser utilizado para alterar la funcionalidad del sistema de forma remota.
  • Potencial de control remoto total del dispositivo: La combinación de estas características permite que un tercero con acceso a la IP codificada tenga control total sobre el dispositivo, pudiendo ejecutar código arbitrario y modificar archivos del sistema.
  • Filtración de datos del paciente: Durante el arranque, el dispositivo transmite datos del paciente en texto plano a la dirección IP hardcodeada, utilizando el puerto 515, tradicionalmente asociado al protocolo Line Printer Daemon (LPD), lo que representa un grave riesgo para la privacidad.

CISA recibió dos versiones de firmware corregido por parte del fabricante en un intento de mitigar la vulnerabilidad. Sin embargo, el análisis determinó que el código de la puerta trasera seguía presente en la versión 2.0.8, permitiendo la activación de la interfaz de red y la conexión a la IP codificada.

Este hallazgo confirma que los dispositivos afectados no solo presentan riesgos de seguridad en términos de manipulación del sistema, sino que además exponen información médica sensible sin medidas adecuadas de protección.

¿Qué es el Contec CMS8000 y para qué se utiliza?

El Contec CMS8000 es un monitor de signos vitales fabricado por Contec Medical Systems, una empresa con sede en Qinhuangdao, China. Se emplea en hospitales y clínicas para la monitorización en tiempo real de parámetros esenciales como:

  • Frecuencia cardíaca (ECG)
  • Presión arterial no invasiva (NIBP)
  • Saturación de oxígeno en sangre (SpO2)
  • Frecuencia respiratoria
  • Temperatura corporal

La compañía afirma que sus productos están aprobados por la FDA y distribuidos en más de 130 países y regiones, lo que hace que estas vulnerabilidades sean un problema global con potenciales consecuencias en la seguridad sanitaria.

Fuentes

Comentarios

No hay comentarios aún. ¿Por qué no comienzas el debate?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *