Hack Alerta

CISA alerta para falha crítica em cadeiras elétricas WHILL (CVE-2025-14346)

Por Redação Hack Alerta Publicado em 02/01/2026 08:02 Riscos e Ameaças Tempo de leitura: 3 min

A CISA e pesquisadores da QED Secure Solutions alertaram para CVE-2025-14346, falha crítica (CVSS 9.8) em cadeiras elétricas WHILL Model C2 e Model F que permite controle remoto via Bluetooth sem autenticação. Não há exploração pública conhecida, mas o potencial de dano físico torna a mitigação urgente; recomendam-se isolamento, contato com o fabricante e revisão de riscos por organizações de saúde.

Introdução: CISA e pesquisadores alertaram para uma vulnerabilidade crítica em cadeiras elétricas WHILL que permite controle remoto via Bluetooth sem autenticação.

Descoberta e escopo

Pesquisadores da QED Secure Solutions identificaram uma falha severa rastreada como CVE-2025-14346 que afeta os modelos WHILL Model C2 Electric Wheelchair e WHILL Model F Power Chair, segundo relatório reproduzido pela Cyber Security News com referência ao aviso da CISA. O erro é classificado com pontuação CVSS de 9.8 (Critical).

Vetor e exploração

A vulnerabilidade decorre de ausência de autenticação para funções críticas expostas via Bluetooth. Na prática, qualquer atacante dentro do alcance do rádio pode, sem credenciais, estabelecer controle dos comandos da cadeira, inclusive direcionamento de movimento; o relatório descreve a falha como capaz de permitir "remote control takeover via Bluetooth".

Evidências, limitações e status de exploração

A CISA recomenda atenção imediata, mas observa que, até o momento do aviso, "no known public exploitation has been reported yet" — frase do próprio comunicado referenciado pela matéria. Ou seja: há confirmação técnica da existência e criticidade do defeito, e instruções de mitigação, mas não há registro público documentado de ataques bem-sucedidos em campo.

Impacto operacional e setorial

Os modelos afetados são usados globalmente em ambientes clínicos e espaços públicos; a exploração bem-sucedida pode causar dano físico direto a usuários e terceiros ao manipular trajetórias e movimentos. Por isso a CISA classifica a questão como relevante para o setor Healthcare and Public Health (infraestrutura crítica).

Recomendações e resposta imediata

  • Isolamento do dispositivo: reduzir exposição ao rede e evitar interfaces remotas desnecessárias.
  • Controles de perímetro: colocar sistemas de controle em segmentos protegidos por firewall e políticas de acesso restritas.
  • Contato com fabricante: a CISA sugere que usuários e organizações entrem em contato com a WHILL Inc. para orientações de mitigação e eventuais atualizações de firmware.
  • Avaliação de risco local: cada instituição deve conduzir análise de impacto operacional antes de aplicar mudanças de configuração.

O que falta e riscos regulatórios

Faltam dados públicos sobre a existência de PoCs (provas de conceito públicas) ou incidentes relatados. Também não há informações no comunicado sobre versões específicas de firmware que contenham correção pública. Dado o potencial de dano físico, organizações de saúde devem tratar a falha como alta prioridade de mitigação e documentar o risco para compliance e auditoria.

Observações finais

A combinação de alta severidade (CVSS 9.8), vetor por rádio de curto alcance (Bluetooth) e impacto físico direto justifica atendimento imediato por equipes de segurança clínica e infraestrutura. A recomendação oficial é seguir as medidas provisórias da CISA e aguardar orientações e updates formais da WHILL.

Baseado em publicação original de Cyber Security News
Tags: #whill #cve-2025-14346 #bluetooth #medical-devices #cisa #iot #assistive-technology #vulnerability #healthcare
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar