ICS医疗设备安全通告
WHILL Model C2电动轮椅和Model F电动椅
发布日期: 2025年12月30日
警报代码: ICSMA-25-364-01
相关主题: 工业控制系统漏洞,工业控制系统
摘要 成功利用此漏洞可能允许攻击者在蓝牙范围内控制产品。 以下版本的WHILL电动轮椅和电动椅受到影响:
- WHILL Model C2 电动轮椅 (CVE-2025-14346)
- WHILL Model F 电动椅 (CVE-2025-14346)
CVSS详情
| CVSS v3 | 供应商 | 设备 | 漏洞 |
|---|---|---|---|
| 9.8 | WHILL Inc. | WHILL Model C2电动轮椅和Model F电动椅 | 关键功能缺失身份验证 |
背景
- 关键基础设施部门: 医疗保健和公共卫生
- 部署国家/地区: 全球
- 公司总部所在地: 日本
漏洞详情 CVE-2025-14346 WHILL Model C2电动轮椅和Model F电动椅未对蓝牙连接强制执行身份验证。攻击者可以在有效范围内与设备配对,无需任何凭据或用户交互即可发送移动指令、覆盖速度限制以及操控配置档案。
受影响产品
- 产品名称: WHILL Model C2电动轮椅和Model F电动椅
- 供应商: WHILL Inc.
- 受影响版本: WHILL Inc. Model C2电动轮椅:所有版本;WHILL Inc. Model F电动椅:所有版本
- 产品状态: 已知受影响
修复措施 WHILL已于2025年12月29日部署以下修复方案:
- 设备端速度档案保护: 在轮椅固件中实现安全措施,防止从移动应用程序未经授权修改速度档案。
- 运动期间解锁指令限制: 当轮椅处于运动状态时,阻止来自移动应用程序或智能钥匙的解锁指令。
- 应用程序JSON文件混淆: 通过将JSON文件转换为二进制格式,对Android和iOS平台上移动应用程序使用的配置文件进行混淆处理。 如需更多信息,请联系WHILL Inc.
相关CWE: CWE-306 关键功能缺失身份验证
指标
| CVSS 版本 | 基础分数 | 基础严重性 | 向量字符串 |
|---|---|---|---|
| CVSS 版本 3.1 | 基础分数 9.8 | 基础严重性 严重 | 向量字符串 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
致谢 QED安全解决方案公司漏洞利用开发团队的Billy Rios、Jesse Young、Brandon Rothel、Jonathan Butts、Henri Hein、Justin Boling、Nick Kulesza、Ken Natividad和Carl Schuettthe向CISA报告了此漏洞。
推荐做法 CISA建议用户采取防御措施以降低此漏洞被利用的风险,例如:
- 最小化所有控制系统设备和/或系统的网络暴露面,确保它们无法从互联网访问。
- 将控制系统网络和远程设备置于防火墙之后,并与业务网络隔离。
- 当需要远程访问时,使用更安全的方法,例如虚拟专用网络(VPN),同时认识到VPN可能存在漏洞,应更新到可用的最新版本。还需认识到VPN的安全性取决于所连接的设备。 CISA提醒各组织在部署防御措施之前进行适当的影响分析和风险评估。CISA还在其ICS网页上提供了控制系统安全推荐实践部分。可供阅读和下载的多个CISA产品详细介绍了网络防御最佳实践,包括《使用纵深防御策略提升工业控制系统网络安全》。 CISA鼓励组织实施推荐的网络安全策略,以主动防御ICS资产。更多缓解指导和推荐实践可在CISA官网ICS网页的技术信息文件中找到。 观察到可疑恶意活动的组织应遵循既定的内部程序,并将发现结果报告给CISA以便进行跟踪和与其他事件关联分析。 CISA还建议用户采取以下措施保护自己免受社会工程攻击:
- 不要点击未经请求的电子邮件中的网络链接或打开附件。
- 目前CISA尚未收到关于此漏洞被公开利用的报告。
修订历史
| 日期 | 修订 | 摘要 |
|---|---|---|
| 2025-12-30 | 1 | 初始发布 |