醫療氣動管道(PTS)系統中的PwnedPiper漏洞使美國80%以上醫院受到影響
責編:gltian |2021-08-09 11:05:59
網絡安全部門Armis的研究人員披露了一組名為PwnedPiper的九個漏洞,這些漏洞可能會使醫院的氣動管道系統(PTS)遭受惡意攻擊。
瑞仕格醫療公司制造的氣動管道(PTS)系統能夠通過氣動管道實現醫院內物資的自動化運輸,北美百分之八十以上醫院及全球范圍內數千家醫院均使用了該系統。而這些系統存在著名為PwnedPiper的漏洞,這些漏洞可以使攻擊者控制PTS傳輸系統,進行中間人攻擊等網絡攻擊并部署勒索軟件等。
Armis的研究人員在報告(https://www.armis.com/research/pwnedpiper)?中指出這些漏洞可以讓攻擊者不需要進行身份驗證的情況下控制 Translogic PTS 站點,從而掌控醫院的整個 PTS 網絡,同時,該攻擊也可能會引發勒索或信息泄露等后續行為。
此外,漏洞還可能引發權限升級、內存損壞、遠程控制和拒絕服務等一系列問題和通過固件升級導致的系統崩潰。
研究人員披露的九個漏洞信息分別為:
? CVE-2021-37161 udpRXThread中的下溢
? CVE-2021-37162 sccProcessMsg中的溢出
? CVE-2021-37163 Telnet服務器默認密碼
? CVE-2021-37164 tcpTxThread堆棧溢出
? CVE-2021-37165 hmiProcessMsg溢出
? CVE-2021-37166 GUI套接字拒絕服務
? CVE-2021-37167 root用戶腳本可用于PE
? CVE-2021-37160 固件升級可不經驗證(未經授權、未加密、未簽名)
Swisslog新發布的7.2.5.7版本修復了絕大多數漏洞,但其中的 CVE-2021-37160尚未被修復。
來源:安全客
譯文聲明
本文是翻譯文章,文章原作者,文章來源:
原文地址:
譯文僅供參考,具體內容表達以及含義原文為準