https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/
https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/

新聞

醫療物聯網威脅!美國FDA與CISA示警陸製病患生理監測儀藏後門

2025 / 02 / 03
編輯部
醫療物聯網威脅!美國FDA與CISA示警陸製病患生理監測儀藏後門
美國食品藥物管理局(FDA)與網路安全暨基礎設施安全局(CISA)發布聯合警告,指出在中國河北企業Contec生產的CMS8000病患生理監測儀中發現後門程式,該設備主要用於監測病患的生命徵象、體溫、心跳和血壓。

根據CISA的說明,這個嵌入在韌體中的後門漏洞可能允許遠端程式碼執行與裝置修改,進而改變其設定。這對病患安全構成風險,因為監測儀的故障可能導致醫護人員對病患生命徵象做出錯誤的回應。CISA已將這些漏洞編號為CVE-2024-12248、CVE-2025-0626和CVE-2025-0683。

更令人擔憂的是,FDA指出,一旦監測儀連接網際網路,它就會開始收集病患資料,包括個人識別資訊(PII)和受保護的健康資訊(PHI),並將這些資料傳送至醫療環境之外。CISA發現,與後門程式相關的IP位址並非來自醫療設備製造商或醫療機構,而是來自某個第三方大學。

FDA表示,目前尚未發現任何與這些漏洞相關的網路安全事件、傷害或死亡案例。然而,由於目前沒有修補程式可以解決這些問題,FDA建議:
  • 醫療機構應停用設備的遠端監控功能
  • 只使用本地監控功能,拔除聯網網路線並停用無線功能
  • 病患應詢問醫療機構是否使用具有遠端監控功能的設備,如果是,建議要求更換其他監測儀
值得注意的是,Contec CMS8000可能會被經銷商重新貼標後販售,FDA特別指出Epsimed MN-120病患監測儀實際上就是Contec CMS8000設備。FDA與CISA表示,將持續與Contec合作,盡快修正這些漏洞。

本文轉載自therecord。