Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустило срочное предупреждение о критической уязвимости в электрических инвалидных колясках WHILL Model C2 и силовых креслах Model F. Уязвимость позволяет злоумышленникам, находящимся поблизости, захватывать контроль над устройствами через соединение Bluetooth без ведома пользователя.
Детали уязвимости
Проблема получила идентификатор CVE-2025-14346 и максимально высокий балл критичности 9.8 по шкале CVSS v3. Уязвимость, классифицируемая как «Отсутствие аутентификации для критической функции», была обнаружена исследователями компании QED Secure Solutions. Они выяснили, что в системе управления колясками отсутствуют необходимые механизмы проверки подлинности для выполнения ключевых команд.
Это создает уникальный вектор угрозы. В отличие от многих уязвимостей в медицинском оборудовании, для эксплуатации этой слабости не требуется доступ к сети или физический контакт с устройством. Злоумышленнику достаточно находиться в радиусе примерно 10 метров от коляски - на стандартном расстоянии действия Bluetooth. Таким образом, атакующий может дистанционно инициировать внезапную остановку, изменить направление движения или полностью парализовать управление, что представляет прямую физическую опасность для пользователя.
Уязвимые устройства производства японской компании WHILL Inc. широко используются как в медицинских учреждениях по всему миру, так и частными лицами. Модели C2 и F позиционируются как инновационные решения для помещений и улицы, однако их продвинутые системы управления оказались не защищены базовыми кибербезопасностными мерами.
Исследовательская группа QED Secure Solutions, включающая Билли Риоса, Джесси Янга и других специалистов, ответственно раскрыла информацию об уязвимости CISA. Их работа вновь подчеркивает растущие проблемы безопасности в сегменте Интернета медицинских вещей (IoMT), где удобство и connectivity часто ставят выше надежных защитных механизмов.
На момент публикации новости CISA не подтвердила, выпустила ли компания WHILL патчи или временные решения для устранения CVE-2025-14346. В своем рекомендательном бюллетене ICSMA-25-364-01, опубликованном 30 декабря 2025 года, агентство призывает пользователей затронутых моделей обратиться напрямую к производителю за информацией об обновлениях. В качестве меры предосторожности рекомендуется отключать модуль Bluetooth, когда он не используется для связи с сопутствующим мобильным приложением.
Медицинским учреждениям настоятельно рекомендуется провести аудит развернутых устройств WHILL и рассмотреть возможность усиления физической безопасности в палатах и коридорах. Это необходимо для минимизации риска несанкционированного доступа к коляскам по Bluetooth со стороны посторонних лиц, которые могут оказаться в зоне действия сигнала.
Данный инцидент стал частью постоянных усилий CISA по защите промышленных систем управления и медицинских устройств от новых киберугроз. Он служит серьезным напоминанием для всей отрасли о том, что безопасность должна быть фундаментальным принципом проектирования любых подключенных устройств, от которых напрямую зависит здоровье и жизнь людей.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-14346
- https://www.cisa.gov/news-events/ics-medical-advisories/icsma-25-364-01
