医疗气动管道(PTS)系统中的PwnedPiper漏洞使美国80%以上医院受到影响

阅读量253759

|

发布时间 : 2021-08-06 16:00:32

x
译文声明

本文是翻译文章

译文仅供参考,具体内容表达以及含义原文为准。

 

网络安全部门Armis的研究人员披露了一组名为PwnedPiper的九个漏洞,这些漏洞可能会使医院的气动管道系统(PTS)遭受恶意攻击。

瑞仕格医疗公司制造的气动管道(PTS)系统能够通过气动管道实现医院内物资的自动化运输,北美百分之八十以上医院及全球范围内数千家医院均使用了该系统。而这些系统存在着名为PwnedPiper的漏洞,这些漏洞可以使攻击者控制PTS传输系统,进行中间人攻击等网络攻击并部署勒索软件等。

Armis的研究人员在报告(https://www.armis.com/research/pwnedpiper) 中指出这些漏洞可以让攻击者不需要进行身份验证的情况下控制 Translogic PTS 站点,从而掌控医院的整个 PTS 网络,同时,该攻击也可能会引发勒索或信息泄露等后续行为。

此外,漏洞还可能引发权限升级、内存损坏、远程控制和拒绝服务等一系列问题和通过固件升级导致的系统崩溃。

研究人员披露的九个漏洞信息分别为:
• CVE-2021-37161 udpRXThread中的下溢
• CVE-2021-37162 sccProcessMsg中的溢出
• CVE-2021-37163 Telnet服务器默认密码
• CVE-2021-37164 tcpTxThread堆栈溢出
• CVE-2021-37165 hmiProcessMsg溢出
• CVE-2021-37166 GUI套接字拒绝服务
• CVE-2021-37167 root用户脚本可用于PE
• CVE-2021-37160 固件升级可不经验证(未经授权、未加密、未签名)

Swisslog新发布的7.2.5.7版本修复了绝大多数漏洞,但其中的 CVE-2021-37160尚未被修复。

本文翻译自 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
呐,你的花花
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66