Μια κρίσιμη συμβουλή ασφαλείας προειδοποίησε για σοβαρές ευπάθειες στα ηλεκτρικά αναπηρικά αμαξίδια WHILL που θα μπορούσαν να επιτρέψουν στους επιτιθέμενους να κλέψουν τις συσκευές μέσω Bluetooth εξ αποστάσεως.
Η ειδοποίηση επηρεάζει δύο δημοφιλή μοντέλα που χρησιμοποιούνται παγκοσμίως: το ηλεκτρικό αναπηρικό αμαξίδιο WHILL Model C2 και το Power Chair Model F, που κατασκευάζονται και τα δύο από την ιαπωνική WHILL Inc.
Ερευνητές ασφαλείας από την QED Secure Solutions ανακάλυψαν ένα επικίνδυνο ελάττωμα, το οποίο παρακολουθείται ως CVE-2025-14346, με μέγιστη βαθμολογία CVSS 9,8 στα 10, ταξινομώντας το ως κρίσιμης σοβαρότητας.
Η ευπάθεια προέρχεται από την έλλειψη ελέγχου ταυτότητας για κρίσιμες λειτουργίες, επιτρέποντας σε οποιονδήποτε εισβολέα εντός εμβέλειας Bluetooth να καταλάβει τον πλήρη έλεγχο του αναπηρικού αμαξιδίου χωρίς να απαιτείται εξουσιοδότηση ή φυσική πρόσβαση στη συσκευή.
| Αναγνωριστικό CVE | Προϊόντα που επηρεάζονται | Βαθμολογία CVSS | Τύπος ευπάθειας | Σύγκρουση |
|---|---|---|---|---|
| CVE-2025-14346 | WHILL Model C2 Electric Wheelchair, WHILL Model F Power Chair | 9.8 (Κρίσιμο) | Λείπει έλεγχος ταυτότητας για κρίσιμη λειτουργία | Τηλεχειριστήριο λήψης μέσω Bluetooth |
Η ευπάθεια εγκυμονεί σημαντικούς κινδύνους για τους χρήστες σε εγκαταστάσεις υγειονομικής περίθαλψης και δημόσιους χώρους.
Καθώς η επιτυχής εκμετάλλευση θα μπορούσε να επιτρέψει σε κακόβουλους παράγοντες να χειραγωγήσουν τις κινήσεις του αναπηρικού αμαξιδίου, προκαλώντας δυνητικά σωματική βλάβη σε χρήστες ή παρευρισκόμενους.
Τα επηρεαζόμενα προϊόντα αναπτύσσονται σε όλο τον κόσμο σε όλο τον τομέα των υποδομών ζωτικής σημασίας για την Υγεία και τη Δημόσια Υγεία.
CISA προτρέπει τους οργανισμούς και τους χρήστες να εφαρμόσουν άμεσα αμυντικά μέτρα για τον μετριασμό των κινδύνων εκμετάλλευσης.
Οι βασικές συστάσεις περιλαμβάνουν την ελαχιστοποίηση της έκθεσης στο δίκτυο διασφαλίζοντας ότι οι συσκευές δεν είναι προσβάσιμες από το διαδίκτυο, η απομόνωση συστημάτων ελέγχου πίσω από τείχη προστασίας και η χρήση ασφαλών εικονικών ιδιωτικών δικτύων (VPN) όταν είναι απαραίτητη η απομακρυσμένη πρόσβαση.
Οι χρήστες θα πρέπει να επικοινωνήσουν απευθείας με την WHILL Inc. για συγκεκριμένες οδηγίες μετριασμού και πιθανές ενημερώσεις υλικολογισμικού.
Οι οργανισμοί πρέπει να πραγματοποιούν διεξοδική ανάλυση επιπτώσεων και εκτιμήσεις κινδύνου πριν από την εφαρμογή προστατευτικών μέτρων.
Η CISA τόνισε ότι δεν έχει αναφερθεί ακόμη καμία γνωστή δημόσια εκμετάλλευση, αλλά η κρίσιμη σοβαρότητα απαιτεί άμεση προσοχή.
