La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) y la Distribución de Alimentos y Medicamentos (FDA) han emitido alertas sobre la presencia de funcionalidad oculta en monitores de pacientes Contec CMS8000 y monitores de pacientes MN-120 epsimed.
La vulnerabilidad, rastreada como CVE-2025-0626lleva una puntuación CVSS V4 de 7.7 en una escalera de 10.0. El defecto, adjunto con otros dos problemas, fue informado a CISA por un investigador forastero secreto.
“El producto afectado envía solicitudes de golpe remoto a una dirección IP codificada, evitando la configuración de red de dispositivos existente para hacerlo”, dijo CISA en un aviso. “Esto podría servir como puerta trasera y conducir a que un actor ladino pueda cargar y sobrescribir archivos en el dispositivo”.
“La puerta trasera inversa proporciona conectividad automatizada a una dirección IP codificada de los dispositivos Contec CMS8000, lo que permite que el dispositivo descargue y ejecute archivos remotos no verificados. Los registros disponibles públicamente muestran que la dirección IP no está asociada con un fabricante de dispositivos médicos o un centro médico pero una universidad de terceros “.
A continuación se enumeran otras dos vulnerabilidades identificadas en los dispositivos.
- CVE-2024-12248 (Puntuación CVSS V4: 9.3): una vulnerabilidad de escritura fuera de los límites que podría permitir que un atacante envíe solicitudes UDP especialmente formateadas para escribir datos arbitrarios, lo que resulta en la ejecución de código remoto
- CVE-2025-0683 (Puntuación CVSS V4: 8.2): una vulnerabilidad de fuga de privacidad que hace que los datos del paciente con texto simple se transmitan a una dirección IP pública codificada cuando el paciente está conectado al profesor
La explotación exitosa de CVE-2025-0683 podría permitir que el dispositivo con esa dirección IP no especificada obtenga golpe a la información confidencial del paciente o broa la puerta a un ambiente adversario en el medio (AITM).
Los agujeros de seguridad afectan los siguientes productos –
- Educador de pacientes CMS8000: Traducción de firmware SMART3250-2.6.27-Wlan2.1.7.cramfs
- Educador de pacientes CMS8000: Traducción de firmware CMS7.820.075.08/0.74 (0.75)
- Educador de pacientes CMS8000: Traducción de firmware CMS7.820.120.01/0.93 (0.95)
- Educador de pacientes CMS8000: todas las versiones (CVE-2025-0626 y CVE-2025-0683)
“Estas vulnerabilidades de ciberseguridad pueden permitir a los actores no autorizados que omitan los controles de seguridad cibernética, obteniendo golpe y potencialmente manipulando el dispositivo”, dijo la FDA, y agregó que “no es consciente de ningún incidente de ciberseguridad, lesiones o crimen relacionadas con estas vulnerabilidades de ciberseguridad en este momento. “
Cedido que estas vulnerabilidades siguen sin parches, CISA recomienda que las organizaciones desconecten y eliminen los dispositivos Contec CMS8000 de sus redes. Vale la pena señalar que los dispositivos igualmente se vuelven a etiquetar y se venden bajo el nombre Epsimed MN-120.
Igualmente se recomienda revisar los monitores del paciente cualquier signo de funcionamiento inusual, como “inconsistencias entre los vitales del paciente mostrado y el estado físico existente del paciente”.
El profesor de pacientes CMS8000 es fabricado por Contec Medical Systems, un desarrollador de dispositivos médicos que se encuentran en Qinhuangdao, China. En su sitio web, la compañía afirma que sus productos están aprobados por la FDA y distribuidos a más de 130 países y regiones.
