Cơ quan An ninh Mạng và Cơ sở Hạ tầng Hoa Kỳ (CISA) vừa phát đi cảnh báo khẩn cấp về một lỗ hổng bảo mật nghiêm trọng trong máy theo dõi bệnh nhân Contec CMS8000. Theo đó, thiết bị này chứa một backdoor được thiết lập với địa chỉ IP cứng, có thể bị khai thác để truy cập từ xa mà không cần xác thực. Lỗ hổng này được gán mã CVE-2025-0626 và CVE-2025-0683, ảnh hưởng đến tất cả các phiên bản firmware đã được phân tích, đặt ra nguy cơ nghiêm trọng đối với tính an toàn và bảo mật dữ liệu bệnh nhân.
Backdoor ẩn trong thiết bị y tế – Mối đe dọa lớn đến an toàn bệnh nhân
Theo báo cáo từ CISA, backdoor này cho phép máy Contec CMS8000 tự động kết nối đến một địa chỉ IP cố định, không thuộc quyền kiểm soát của nhà sản xuất hoặc các cơ sở y tế. Điều đáng lo ngại là địa chỉ IP này lại thuộc về một trường đại học bên thứ ba, khiến cơ quan an ninh đặt ra nhiều nghi vấn về mục đích thực sự của việc thiết lập này.
Khi thiết bị khởi động, nó sẽ tự động tải xuống và thực thi các tệp từ nguồn bên ngoài mà không có bất kỳ sự xác minh nào. Điều này có nghĩa là nếu bị khai thác, kẻ tấn công có thể:
- Chiếm quyền kiểm soát hoàn toàn thiết bị, thay đổi cài đặt mà không cần sự cho phép.
- Thực thi mã độc, từ đó cài đặt thêm các phần mềm nguy hiểm khác.
- Chỉnh sửa hoặc giả mạo thông số sinh tồn của bệnh nhân (nhịp tim, huyết áp, nồng độ oxy...), khiến bác sĩ có thể đưa ra quyết định sai lầm trong điều trị.
Điều này đặc biệt nguy hiểm khi thiết bị này được sử dụng trong môi trường bệnh viện và phòng cấp cứu, nơi mà sai số dù nhỏ cũng có thể dẫn đến hậu quả nghiêm trọng, thậm chí gây tử vong.
Dữ liệu bệnh nhân bị gửi ra bên ngoài mà không có mã hóa
Không chỉ bị kiểm soát từ xa, thiết bị Contec CMS8000 còn có hành vi tự động truyền dữ liệu bệnh nhân đến một địa chỉ IP cứng mà không qua bất kỳ lớp mã hóa nào.
CISA cho biết các thông tin y tế này được gửi qua cổng 515, vốn là cổng mặc định dành cho dịch vụ in ấn chứ không phải một giao thức bảo mật dành cho thiết bị y tế. Điều này đồng nghĩa với việc dữ liệu bệnh nhân có thể bị thu thập hoặc chặn bắt dễ dàng bởi những kẻ tấn công có kỹ năng. Nếu tin tặc khai thác lỗ hổng này, hồ sơ sức khỏe, thông tin cá nhân và dữ liệu nhạy cảm của bệnh nhân có thể bị đánh cắp hoặc sửa đổi mà không ai hay biết.
Chưa có bản vá bảo mật – CISA khuyến cáo ngừng sử dụng ngay lập tức
Hiện tại, nhà sản xuất Contec vẫn chưa phát hành bất kỳ bản vá bảo mật nào để khắc phục lỗ hổng này. Điều này đặt các bệnh viện, phòng khám và cơ sở y tế vào tình thế phải tự bảo vệ trước các rủi ro tiềm ẩn.
Để giảm thiểu nguy cơ, CISA đưa ra các khuyến nghị khẩn cấp như sau:
- Ngắt kết nối thiết bị khỏi internet ngay lập tức để tránh nguy cơ bị tấn công từ xa.
- Kiểm tra tất cả thông số hiển thị trên thiết bị để phát hiện các dấu hiệu bất thường hoặc sai lệch.
- Tìm kiếm các giải pháp thay thế an toàn hơn, tránh sử dụng thiết bị chứa lỗ hổng bảo mật chưa được kiểm soát.
- Nếu không thể tắt kết nối không dây, tốt nhất là ngừng sử dụng CMS8000 ngay lập tức.
Các chuyên gia bảo mật cảnh báo rằng việc sử dụng các thiết bị y tế kém an toàn có thể dẫn đến hậu quả thảm khốc, đặc biệt là trong bối cảnh ngày càng nhiều vụ tấn công mạng nhằm vào ngành y tế.
CISA cũng khuyến nghị các cơ sở y tế cần đánh giá lại hệ thống bảo mật của mình, đặc biệt là các thiết bị kết nối mạng, để tránh trở thành mục tiêu của tin tặc.
👉 Theo dõi các bản cập nhật tiếp theo để biết thêm thông tin về giải pháp khắc phục từ Contec.
Theo: Security Online
