美國網路安全暨基礎設施安全局(CISA)發布工業控制系統醫療資安通報,指出日本行動輔具業者Whill的電動輪椅Model C2與Model F存在嚴重藍牙弱點CVE-2025-14346。通報評估該漏洞CVSS v3.1分數為9.8,屬極高風險等級。一旦遭利用,攻擊者只要在藍牙有效範圍內,就可能接管裝置控制。
該漏洞根源在於裝置未對藍牙連線功能落實身分驗證,裝置在設計上可能接受未經授權的連線或指令請求,使得近距離的第三方有機會介入控制。CISA將影響範圍列為Model C2與Model F的所有版本,並提醒部署單位先做影響分析與風險評估,再決定採取的防護措施與更新節奏。CISA也在通報中說明,該漏洞由資安研究團隊QED Secure Solutions發現。
CISA表示,目前尚未收到針對該漏洞的公開已知利用案例回報。不過由於評分與影響面向偏高,組織仍應依資產盤點與漏洞管理流程,確認院內或據點是否使用相關型號,並持續追蹤廠商更新與緩解資訊。通報也提到Whill已於2025年12月29日部署緩解措施,並建議需要更多資訊可直接聯繫原廠。
延續工控環境的通用防禦做法,CISA建議使用單位降低控制系統裝置的暴露面,避免直接對網際網路開放,並將相關網路與遠端設備置於防火牆後方,與企業網路進行適當隔離。當有遠端存取需求,CISA也建議採用較安全的方法例如虛擬私有網路,並維持更新到最新版本。通報同時提醒,導入任何措施前應先完成影響分析與風險評估,以免變更導致營運或照護中斷。當需更多資訊,可直接聯繫Whill。
由於該案件涉及無線連線情境,機構除依原廠資訊與通報建議套用更新或緩解措施,也可自行檢視行動輔具在交付、借用與維修流程中的管理方式,例如設定檔與配對設定的控管。CISA也提醒組織當觀察到疑似惡意活動,應依內部事件處置流程蒐證並通報,以利彙整分析。
熱門新聞
2026-01-06
2026-01-06
2026-01-06
2026-01-05
2026-01-02
2026-01-02