美国网络安全暨基础设施安全局(CISA)发布工业控制系统医疗安全通报,指出日本行动辅具企业Whill的电动轮椅Model C2与Model F存在严重蓝牙弱点CVE-2025-14346。通报评估该漏洞CVSS v3.1分数为9.8,属极高风险等级。一旦遭利用,攻击者只要在蓝牙有效范围内,就可能接管设备控制。
该漏洞根源在于设备未对蓝牙连接功能落实身份验证,设备在设计上可能接受未经授权的连接或指令请求,使得近距离的第三方有机会介入控制。CISA将影响范围列为Model C2与Model F的所有版本,并提醒部署单位先做影响分析与风险评估,再决定采取的防护措施与更新节奏。CISA也在通报中说明,该漏洞由安全研究团队QED Secure Solutions发现。
CISA表示,目前尚未收到针对该漏洞的公开已知利用案例回应。不过由于评分与影响面向偏高,组织仍应依资产盘点与漏洞管理流程,确认院内或据点是否使用相关型号,并持续关注厂商更新与缓解资讯。通报也提到Whill已于2025年12月29日部署缓解措施,并建议需要更多资讯可直接联系原厂。
延续工控环境的通用防御做法,CISA建议使用单位降低控制系统设备的暴露面,避免直接对网际网络开放,并将相关网络与远程设备置于防火墙后方,与企业网络进行适当隔离。当有远程访问需求,CISA也建议采用较安全的方法例如虚拟私有网络,并维持更新到最新版本。通报同时提醒,导入任何措施前应先完成影响分析与风险评估,以免变更导致运营或看护中断。当需更多资讯,可直接联系Whill。
由于该案件涉及无线连接场景,机构除依原厂资讯与通报建议套用更新或缓解措施,也可自行查看行动辅具在交付、借用与维修流程中的管理方式,例如设置文件与配对设置的管控。CISA也提醒组织当观察到疑似恶意活动,应依内部事件处置流程搜证并通报,以便汇集整理分析。
