Die US-Behörden CISA (Cybersecurity and Infrastructure Security Agency) und FDA (Food and Drug Administration) haben eine alarmierende Entdeckung gemacht: In den weitverbreiteten Patientenmonitoren Contec CMS8000 wurde eine kritische Backdoor-Schwachstelle identifiziert, die unbefugten Fernzugriff ermöglicht. Diese Sicherheitslücke gefährdet potenziell die Patientensicherheit in Gesundheitseinrichtungen weltweit.
Technische Details der Sicherheitslücken
Bei der Analyse von drei verschiedenen Firmware-Versionen des CMS8000 wurde eine verdächtige Netzwerkaktivität festgestellt. Die Geräte kommunizieren mit einer hartcodierten IP-Adresse, wobei sie die konfigurierten Netzwerkeinstellungen umgehen. Diese als CVE-2025-0626 klassifizierte Schwachstelle erhielt einen CVSS-Score von 7,7 und ermöglicht es Angreifern, Dateien auf dem Gerät ohne Authentifizierung zu manipulieren.
Analyse der Backdoor-Funktionalität
Die detaillierte Code-Analyse durch CISA-Experten ergab, dass die entdeckte Funktionalität nicht als legitimes Update-System konzipiert wurde. Elementare Sicherheitsmechanismen wie Integritätsprüfungen, Versionskontrolle und Audit-Logging fehlen vollständig. Dies ermöglicht das unbemerkte Überschreiben von System- und Konfigurationsdateien.
Zusätzliche Sicherheitsrisiken
Neben der Backdoor wurde eine weitere Schwachstelle (CVE-2025-0683) identifiziert, die Man-in-the-Middle-Angriffe und den Zugriff auf sensible Patientendaten ermöglicht. Die FDA betont, dass diese Kombination von Schwachstellen die Manipulation von Gerätedaten und die Umgehung von Sicherheitsmechanismen ermöglicht.
Empfohlene Sicherheitsmaßnahmen
Aufgrund der Schwere der Bedrohung empfehlen die Sicherheitsexperten folgende sofortige Maßnahmen:
– Sofortige Trennung aller Contec CMS8000 (auch bekannt als Epsimed MN-120) vom Netzwerk
– Durchführung einer forensischen Analyse auf Anzeichen von Kompromittierung
– Überprüfung der Patientenaufzeichnungen auf Unstimmigkeiten
– Implementation zusätzlicher Netzwerksegmentierung für medizinische Geräte
Da der Hersteller bisher keine Sicherheitsupdates bereitgestellt hat, wird Gesundheitseinrichtungen dringend empfohlen, alternative Monitoring-Lösungen zu evaluieren und ihre medizintechnische Infrastruktur einer umfassenden Sicherheitsüberprüfung zu unterziehen. Der Vorfall unterstreicht die wachsende Bedeutung von Cybersicherheit im Gesundheitswesen und die Notwendigkeit verbesserter Sicherheitsstandards für medizinische Geräte.
