Když v detektivkách vidíte hackery, jak na dálku manipulují přístroji, které jsou připojeny k pacientovi, vypadá to jako sci-fi. Bohužel dnes již není a naposledy nalezená zadní vrátka v čínském přístroji to potvrzují:

Americká agentura CISA a Úřad pro kontrolu potravin a léčiv (FDA) vydaly varování týkající se skrytých funkcí v monitorech pacientů Contec CMS8000 a Epsimed MN-120. Tyto zranitelnosti mohou útočníkům umožnit obejít síťová nastavení zařízení a připojit se k pevně zakódované IP adrese. Zranitelnost má hodnocení CVSS v4 7.7, tedy vysoké riziko.

Jedním z hlavních problémů je možnost vzdáleného přístupu k monitorům bez vědomí uživatele, což může vést k nahrávání a přepisování souborů v zařízení (CVE-2025-0626). Další kritická chyba, CVE-2024-12248 s hodnocením 9.3, umožňuje útočníkovi provádět vzdálené spouštění kódu prostřednictvím speciálně vytvořených UDP požadavků. Třetí zranitelnost, CVE-2025-0683 s hodnocením 8.2, způsobuje únik citlivých dat, protože monitor odesílá pacientské údaje na pevně zakódovanou veřejnou IP adresu.

Zatím nebyly naštěstí hlášeny žádné incidenty spojené s těmito zranitelnostmi, doporučuje se, aby organizace okamžitě odpojily monitory Contec CMS8000 ze svých sítí. Zmíněná zařízení se navíc prodávají i pod jinou značkou – Epsimed MN-120. Výrobce Contec Medical Systems, sídlící v Číně, uvádí, že jeho produkty jsou schváleny FDA a distribuovány do více než 130 zemí.

Doporučujeme, stejně jako CISA, prověřit, jestli tento typ zařízení v síti nemáte a monitorovat případné neobvyklé chování těchto zařízení. Samozřejmě by zařízení mělo být v odděleném segmentu sítě bez přístupu na internet. Tento přístroj se dá koupit i v ČR, např. na tomto e-shopu: https://medihum.cz/pacientsky-monitor-cms-8000 V registru smluv se nám ale nepodařilo žádnou koupi dohledat.