A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e a Administração de Alimentos e Medicamentos (FDA) emitiram um alerta sobre vulnerabilidades críticas nos monitores de pacientes Contec CMS8000 e Epsimed MN-120.
A principal falha, registrada como CVE-2025-0626 e com pontuação CVSS v4 de 7.7, foi reportada anonimamente à CISA. Essa vulnerabilidade permite que os dispositivos enviem solicitações de acesso remoto para um endereço IP fixo, ignorando as configurações da rede. Isso pode servir como um backdoor, possibilitando que invasores sobrescrevam arquivos no equipamento.
Além desse problema, outras vulnerabilidades foram identificadas:
- CVE-2024-12248 (CVSS 9.3): Permite que hackers enviem pacotes UDP manipulados para alterar dados e executar códigos remotamente.
- CVE-2025-0683 (CVSS 8.2): Expõe informações de pacientes em texto simples, transmitindo esses dados para um IP público predefinido, facilitando acessos não autorizados e ataques de interceptação (Adversary-in-the-Middle – AitM).
Os monitores afetados incluem diversas versões do firmware do CMS8000 Patient Monitor, algumas das quais apresentam todas as falhas mencionadas.
A FDA alertou que essas vulnerabilidades podem permitir invasões e manipulação dos dispositivos, mas destacou que, até o momento, não há registros de incidentes, ferimentos ou mortes associados a essas falhas.
Diante da ausência de atualizações corretivas, a CISA orientou que os dispositivos Contec CMS8000 sejam imediatamente desconectados das redes. Como o modelo também é comercializado sob a marca Epsimed MN-120, usuários desses equipamentos devem redobrar a atenção.
Outra recomendação é monitorar os aparelhos em busca de sinais anormais, como inconsistências entre os dados vitais apresentados e o estado real do paciente.
O CMS8000 é fabricado pela empresa chinesa Contec Medical Systems, com sede em Qinhuangdao. De acordo com o site da fabricante, seus produtos possuem certificação da FDA e são distribuídos para mais de 130 países.
