美国CISA和FDA恶意诬陷中国产患者监护仪存在隐蔽后门，工业网络安全公司Claroty严词反驳后门论

2025年1月30日，美国网络安全和基础设施安全局（CISA）和食品药品监督管理局（FDA）发布警告，称中国产Contec CMS8000患者监护仪存在“隐藏后门”，并指出该后门与中国的一个硬编码IP地址相关，可能导致患者数据和固件更新的出站通信被滥用。然而，工业网络安全公司Claroty的Team82研究团队对此提出了反驳，该团队在2月2日发布的技术报告中认为，这一漏洞并非“隐藏后门”，而是设备设计中的不安全缺陷，尽管其风险依然严重，但性质与CISA和FDA的描述存在显著差异。美方网络安全和食品药品监管机构CISA和FDA在没有充分实证的情况下，将问题归咎于“后门”，这种做法不仅缺乏起码的科学态度和依据，还带有明显的污名化倾向，对中国的医疗设备制造商造成了严重的声誉损害。

CISA与FDA的指控

CISA和FDA的警告指出，Contec CMS8000患者监护仪中存在一个“隐藏功能”（CWE-912），即设备固件中硬编码了一个中国IP地址（202.114.4.119），用于患者数据和固件更新的出站通信。这一发现引发了广泛关注，尤其是考虑到医疗设备的敏感性和潜在的国家安全风险。FDA进一步强调，这一“后门”可能被用于恶意目的，例如窃取患者数据或进行未经授权的固件更新。

Claroty的Team82研究团队对Contec CMS8000的固件进行了详细分析，并得出结论：CISA和FDA的指控存在误导性。研究人员指出，所谓的“后门”并非隐藏功能，而是设备设计中的一个不安全缺陷。以下是他们的主要发现：

1、硬编码IP地址的公开性

Team82发现，Contec的操作手册中明确提到了硬编码的IP地址（202.114.4.119），并指导用户在其内部网络中使用该地址配置中央管理系统（CMS）。这表明该IP地址并非“隐藏”，而是设备设计的一部分。此外，设备在出厂时已预配置了该IP地址，用户手册中也明确说明了其用途。

2、固件升级机制的不安全性

研究人员发现，设备的固件升级机制存在严重的设计缺陷。升级过程中，设备会通过网络挂载NFS共享，并从硬编码的IP地址下载固件更新。这一过程缺乏加密和验证机制，容易受到中间人（MiTM）攻击，可能导致恶意代码注入。然而，触发升级逻辑需要物理按下设备上的按钮，这意味着攻击者必须接近设备才能利用这一漏洞。

3、公共IP地址的风险

硬编码的IP地址（202.114.4.119）是一个可路由的公共IP地址，而非私有IP地址。这意味着设备在未正确配置网络的情况下，可能会通过互联网与外部服务器通信，从而暴露敏感数据或接收恶意更新。尽管研究人员发现该IP地址当前并未托管NFS服务器，但未来仍可能被用于分发恶意固件。

4、患者数据的潜在泄露

设备通过TCP端口511与HL7服务器（202.114.4.120）通信，用于传输患者数据（如心率、血压、血氧饱和度等）。由于该IP地址也是可路由的公共地址，存在患者数据泄露的风险。研究人员建议，如果不使用HL7功能，应阻止所有出站到该IP地址的网络流量。

尽管Claroty认为该问题并非“隐藏后门”，但其风险依然不容忽视。研究人员通过实验证明，攻击者可以利用这一不安全设计，在设备上执行任意代码。例如，他们成功将恶意二进制文件下载到设备中，并覆盖了设备的可执行文件，从而实现了远程控制。攻击场景包括伪造患者生命体征、实施勒索软件攻击等，可能导致设备无法正常运行，甚至危及患者安全。

Claroty为使用Contec CMS8000患者监护仪的组织提出了以下建议：

1. 网络流量控制：在防火墙上阻止对子网202.114.4.0/24的所有访问，防止设备尝试从外部服务器升级固件或泄露患者数据。

2. 修改默认配置：如果可能，避免使用硬编码的IP地址（202.114.4.119）配置CMS系统，或通过静态路由和网络分段确保流量仅路由到内部CMS服务器。

3. 替换设备：如果供应商未修复固件漏洞，建议用更安全的设备替换Contec CMS8000，以避免未来可能的安全风险。

Claroty的研究表明，Contec CMS8000患者监护仪的问题更多是设计缺陷而非恶意后门。尽管CISA和FDA的警告引发了广泛关注，但其描述与实际情况存在偏差。然而，这一不安全设计仍然对患者数据和医院网络构成重大威胁，亟需采取补救措施。Claroty的建议为医疗机构提供了可行的解决方案，同时也提醒设备制造商在设计医疗设备时，必须优先考虑安全性和隐私保护。

【闲话简评】

Claroty Team82的最新研究结果表明，所谓的“后门”实为设计缺陷，这一结论有力地驳斥了CISA和FDA的不实指控。后门与漏洞的区别在于，后门往往暗示着有意为之的恶意行为，而漏洞则是无意的设计缺陷。CISA和FDA的指控在没有充分实证的情况下，将问题归咎于“后门”，这种做法不仅缺乏科学依据，还带有明显的污名化倾向，对中国的医疗设备制造商康泰医学造成了严重的声誉损害。Claroty的研究显示，该设备的硬编码IP地址是由于设计不当导致的漏洞，而非恶意设置的后门。这种设计缺陷确实存在安全隐患，但将其归因于“后门”显然是不恰当的。这种不实指控不仅误导了公众，还可能对中美之间的科技交流和信任关系产生负面影响。呼吁相关机构在发布此类指控时，应基于严谨的科学分析和充分的证据，避免无端指责和误导性言论。同时，也希望各方能够以客观、公正的态度对待此类事件，共同推动医疗设备的安全性和可靠性提升。

附：关于CMS8000病人监护仪及其制造商

CMS8000病人监护仪功能丰富，可适用于成人、小儿和新生儿的床边监护。用户亦可根据不同需要，选择不同的测量参数配置。便携式监护仪采用12.1英寸彩色TFT显示器显示实时数据和波形，可同时显示八道波形及全部监护参数，选配48mm热敏记录仪。通过有线或无线网络与本公司中央监护系统连接，组成一个网络监护系统。

本监护仪可以监护ECG、RESP、NIBP、SpO2、双通道TEMP等主要参数。它把参数测量模块功能、显示和记录输出集于一体，构成一款结构紧凑、轻便的监护仪。它的可更换式内置电池为病人移动提供了方便。

该设备制造商康泰医学系统（秦皇岛）股份有限公司成立于1996年，是一家专业从事医疗诊断、监护设备的研发、生产和销售的高新技术企业。公司坐落于河北省秦皇岛市经济技术开发区，交通便利、环境适宜、配套设施完善。公司自成立以来，始终致力于医疗诊断、监护设备的研发、生产和销售，产品涵盖血氧类、心电类、超声类、监护类、血压类等多个大类，凭借良好的性能和较高的品牌知名度，已经累计销售至全球130多个国家和地区。

参考资源

1、https://industrialcyber.co/medical/claroty-counters-cisa-fda-claims-identifies-contec-patient-monitor-flaws-as-insecure-design-not-hidden-backdoor/

2、https://claroty.com/team82/research/are-contec-cms8000-patient-monitors-infected-with-a-chinese-backdoor-the-reality-is-more-complicated

3、https://www.cisa.gov/sites/default/files/2025-01/fact-sheet-contec-cms8000-contains-a-backdoor-508c.pdf

4、https://www.contecmed.com.cn/productinfo/623789.html

原文始发于微信公众号（网空闲话plus）：美国CISA和FDA恶意诬陷中国产患者监护仪存在“隐蔽后门”，工业网络安全公司Claroty严词反驳“后门”论