Backdoor được phát hiện trong màn hình bệnh nhân do Trung Quốc sản xuất
Cơ quan An ninh Hạ tầng mạng Mỹ (CISA) vừa công bố một báo cáo điều tra liên quan đến ba phiên bản firmware của hệ thống giám sát bệnh nhân Contec CMS8000, được sử dụng tại bệnh viện. Báo cáo phát hiện các thiết bị này có lỗ hổng bảo mật với địa chỉ IP cố định, cho phép truyền dữ liệu bệnh nhân. Điều này xảy ra vì các thiết bị có thể kết nối với hệ thống giám sát trung tâm qua mạng có dây hoặc không dây.
Cơ quan đã công bố mã nguồn truyền dữ liệu đến một địa chỉ IP cụ thể. Dữ liệu giải mã chứa thông tin chi tiết như tên bác sĩ, tên bệnh nhân, khoa bệnh viện, ngày nhập viện, ngày sinh và các thông tin khác về người sử dụng thiết bị này. Lỗ hổng này được ghi nhận dưới mã CVE-2025-0626 với điểm CVSS v4 là 7.7 trên 10. Hai lỗ hổng khác được ghi nhận là CVE-2024-12248, cho phép kẻ tấn công ghi dữ liệu từ xa để thực thi mã, và CVE-2025-0683, liên quan đến lỗ hổng về quyền riêng tư.
Cục Quản lý Thực phẩm và Dược phẩm (FDA) cho biết các lỗ hổng bảo mật mạng có thể cho phép những đối tượng không được phép vượt qua các biện pháp kiểm soát an ninh mạng, từ đó truy cập và có khả năng thao tác thiết bị. Tuy nhiên, FDA hiện không biết về bất kỳ sự cố, thương tích hay tử vong nào liên quan đến các lỗ hổng này. Cơ quan cũng đề cập đến Contec Medical Systems, một nhà sản xuất thiết bị y tế có trụ sở tại Trung Quốc, với sản phẩm được sử dụng trong các bệnh viện, phòng khám và cơ sở y tế khác tại Liên minh Châu Âu và Hoa Kỳ.
Tuy nhiên, một tìm kiếm nhanh cho thấy các sản phẩm này cũng có thể được mua qua eBay với giá 599. Theo FDA, các thiết bị này còn được gán nhãn là Epsimed MN-120. Contec là nhà sản xuất thiết bị y tế lớn, sản phẩm được bán tại hơn 130 quốc gia và được FDA phê duyệt. Nhóm nghiên cứu CISA gần đây đã phát hiện ra lỗ hổng này trong quá trình công bố lỗ hổng phối hợp. Cơ quan cho biết địa chỉ IP không liên quan đến bất kỳ nhà sản xuất thiết bị y tế nào.
Đây là một trường đại học bên thứ ba, nhưng không đề cập đến tên trường, địa chỉ IP hay quốc gia nhận dữ liệu. CISA cũng khẳng định rằng mã này không phải là hệ thống cập nhật thay thế vì không có các quy trình cập nhật tiêu chuẩn như theo dõi phiên bản hoặc kiểm tra tính toàn vẹn. Thay vào đó, nó chỉ chia sẻ và truyền tệp từ xa đến địa chỉ IP.
FDA khuyến nghị mạnh mẽ ngắt kết nối thiết bị giám sát khỏi mạng và theo dõi tình trạng sức khỏe và dấu hiệu sinh tồn của bệnh nhân. Thiết bị Contec CMS8000 theo dõi chi tiết các chỉ số sinh tồn của bệnh nhân như điện tâm đồ, nhịp tim, oxy trong máu, huyết áp, và nhịp thở, đồng thời lưu trữ dữ liệu này với độ chi tiết cao.
Điều này sẽ gây ra lo ngại về quyền riêng tư khi FDA phát đi thông báo cho thấy họ và các cơ sở y tế không biết rõ mục đích của thiết bị. Theo báo cáo, Contec vẫn chưa giải quyết vấn đề này và chưa phát hành bản cập nhật phần mềm nào để khắc phục. Nhiều thiết bị kết nối mạng đã được báo cáo có lỗ hổng, không chỉ riêng từ các công ty có nguồn gốc từ Trung Quốc. Tuy nhiên, với vai trò quan trọng của những thiết bị này, việc kiểm tra, thẩm định và công bố thông tin sẽ rất cần thiết.
Dữ liệu được truyền đến trường đại học bất kể vị trí, và báo cáo cho thấy cả FDA lẫn bệnh viện đều không biết về lỗ hổng này, vi phạm quyền riêng tư của mọi bệnh nhân và bác sĩ, không chỉ ở một khu vực. Từ tháng Giêng đã có nhiều cuộc tấn công mạng từ Trung Quốc và có lo ngại liên quan đến TP-Link, điều này càng làm gia tăng vấn đề với các thiết bị này.
Nguồn: www.tomshardware.com/tech-industry/cyber-security/backdoor-uncovered-in-china-made-patient-monitors-contec-cms8000-raises-questions-about-healthcare-device-security