互联网连接的医疗清洗消毒器易受黑客攻击

物联网设备正在把每个行业都变成计算机行业，让客户认为使用智能设备会让他们的生活更轻松。

但一切都需要连接吗？

当然不是。其中一个例子是最新的全面披露的漏洞报告，该报告影响了德国制造商Miele生产的一款联网洗衣机消毒器。

这个Miele Professional PG 8528在医疗机构中用于清洁和适当消毒实验室和手术器械的设备存在Web服务器目录遍历漏洞。

德国咨询公司施耐德（Schneider&amp；Wulf发现了一个漏洞（CVE-2017-7240），该漏洞允许未经验证的远程攻击者访问web服务器所需目录以外的目录。

一旦被访问，攻击者可以窃取存储在服务器上的敏感信息，甚至插入自己的恶意代码，并告诉web服务器执行它。

“相应的嵌入式web服务器‘PST10 WebServer’通常监听端口80，容易受到目录遍历攻击，[因此]未经身份验证的攻击者可能能够利用此问题访问敏感信息，以帮助后续攻击，”雷格尔解释道。

概念验证利用代码发布！

Regel还发布了该漏洞的概念证明（PoC）攻击代码，这意味着黑客现在可以在供应商发布补丁之前攻击该漏洞。

PoC漏洞对任何人来说都很简单：

获取/../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../..//etc/shadow HTTP/1.1连接到洗碗机在局域网上的任何IP。

目前尚不清楚Miele使用了哪些库来设计Web服务器，不过据Regel说，他能够请求嵌入式系统的影子文件–；扩展文件系统中的任何文件。

2016年11月，研究人员私下透露了Miele的漏洞，但三个多月没有收到供应商的回复。因此，何时可以预期修复（或者修复是否存在）仍然是未知的。

因此，确保自身安全的最佳选择是暂时断开设备与互联网的连接，直到补丁发布。