Resumen Ejecutivo
El informe trata sobre varias vulnerabilidades críticas en los Monitores de Pacientes CMS8000 de Contec Health, con una puntuación CVSS de 9.3, indicando que pueden ser explotadas de forma remota con una complejidad de ataque baja. Las vulnerabilidades incluyen escritura fuera de los límites, funcionalidades ocultas (puertas traseras) y exposición de datos personales, lo que plantea un alto riesgo de explotación y violación de la privacidad del paciente.
Evaluación de Riesgos
La explotación de estas vulnerabilidades puede permitir a un atacante enviar solicitudes UDP especialmente diseñadas o conectarse a una red externa no identificada, lo que puede resultar en la ejecución de código de forma remota. Además, el dispositivo puede filtrar información de pacientes y datos de sensores. La FDA ha emitido un aviso de seguridad relacionado con estas vulnerabilidades, y CISA ha emitido una hoja informativa adicional para los CVEs identificados (CVE-2025-0626 y CVE-2025-0683).
Detalles Técnicos
-
Productos Afectados:
- Monitores de Pacientes CMS8000, con varias versiones de firmware vulnerables.
-
Descripción de las Vulnerabilidades:
-
Escritura Fuera de los Límites (CWE-787): Es posible que un atacante envíe solicitudes UDP para sobreescribir datos, lo que puede dar lugar a ejecución remota de código. Se ha asignado el CVE-2024-12248 con una puntuación CVSS de 9.8 en v3.1 y 9.3 en v4.
-
Funcionalidad Oculta (CWE-912): El dispositivo puede enviar solicitudes a una IP codificada, creando un acceso no autorizado, lo que se considera una puerta trasera. Se asignó el CVE-2025-0626, con puntuaciones de 7.5 en v3.1 y 7.7 en v4.
- Exposición de Información Privada (CWE-359): El producto envía datos de pacientes de forma no segura a una IP pública, lo que puede resultar en la fuga de información sensible. Este problema tiene asignado el CVE-2025-0683 con puntuaciones de 5.9 en v3.1 y 8.2 en v4.
-
-
Contexto del Problema:
- Estos dispositivos están desplegados a nivel mundial, con impacto en sectores de infraestructura crítica, especialmente en salud y salud pública.
- Investigación:
- Un investigador anónimo reportó estas vulnerabilidades a CISA.
Mitigaciones
La CISA y la FDA recomiendan que los usuarios eliminen los Monitores CMS8000 de sus redes. Hay riesgo de que estos dispositivos sean reacondicionados y revendidos. Se aconseja a los usuarios adoptar medidas defensivas como:
- Reducir la exposición de la red y asegurar que los dispositivos no sean accesibles desde Internet.
- Ubicar los sistemas de control detrás de firewalls y aislarlos de redes comerciales.
- Mantener los dispositivos médicos en subredes de bajo privilegio.
- Utilizar solo fabricantes de confianza para sistemas críticos.
CISA recomienda que las organizaciones realicen análisis de riesgos antes de implementar defensas. También se alienta a cumplir con las prácticas recomendadas de la guía CISA sobre seguridad cibernética para sistemas de control industrial y a reportar cualquier actividad maliciosa a la CISA.
No se han reportado casos confirmados de explotación de estas vulnerabilidades hasta la fecha de este informe.
Historial de Actualización
La información fue publicada inicialmente el 30 de enero de 2025.