Information des Amts für Verbraucherschutz: Sicherheitswarnung Patientenmonitor CMS8000 des chinesischen Herstellers Contec
Die Cybersecurity and Infrastructure Security Agency (CISA) warnt in einem Bericht vom 30.01.2025 vor einer Backdoor im Patientenmonitor CMS8000 des chinesischen Herstellers Contec. Hauptsächlich dürften Krankenhäuser betroffen sein. Es kann aber nicht ausgeschlossen werden, dass auch in ambulanten Praxen diese Monitore im Einsatz sind.
Demnach hat die CISA in der Firmware von drei getesteten Produkten einen Programmcode gefunden, der Dateien herunterladen und ausführen kann, was potenziell zur vollständigen Übernahme des Geräts führen kann. Die betroffenen Geräte versuchen, Dateien von einer IP-Adresse herunterzuladen, die laut BleepingComputer einer chinesischen Universität zugeordnet ist. Die Schwachstelle wird als CVE-2025-0626 mit einem CVSS-B-Score von 7.7/10 eingestuft. Zudem versuchen betroffene Geräte während des Startvorgangs Patientendaten im Klartext an die IP-Adresse zu senden. Dabei kann es sich um den Arzt, den Namen und die Nummer des Patienten oder dessen Geburtsdatum handeln. Die Schwachstelle trägt die Kennung CVE-2025-0683 mit einem CVSS-B-Score von 8.2/10. Die CISA stuft die Funktionalität nicht als Update-Funktion ein, da sie keine Integritätsprüfungen implementiert und keine Protokollierungs- und Auditierungsfunktionen bietet. Laut einem Advisory der U.S. Food & Drug Administration (FDA) ist auch der Patientenmonitor Epsimed MN-120 von den Schwachstellen betroffen. Der Epsimed MN-120 entspricht einem CMS8000 und wird lediglich unter einem anderen Namen vertrieben.
Die CISA empfiehlt allen medizinischen Einrichtungen und Organisationen, die Produkte vom Netzwerk zu trennen (wenn möglich), da für die Geräte zum Berichtszeitpunkt keine Updates verfügbar sind. Außerdem sollten die Geräte auf unautorisierte Änderungen überprüft werden.
Am 02.02.2025 haben Sicherheitsforscher des Team82 vom Cybersicherheitsunternehmen Claroty eine Erklärung zu den von der CISA beschriebenen Schwachstellen veröffentlicht. Die Sicherheitsforscher kommen zu dem Schluss, dass es sich wahrscheinlich nicht um eine versteckte Backdoor, sondern um eine risikoreiche Funktion des Patientenmonitors handelt. So soll in der Bedienungsanleitung der Geräte genau beschrieben werden, wie das zentrale Managementsystem (CMS) mit der spezifischen IP-Adresse zu konfigurieren ist. Außerdem sei ein physischer Knopfdruck erforderlich, um das Gerät zu aktualisieren.