8月2日，物联网公司Armis公布了一组统称为“PwnedPiper”的9个漏洞，涉及到远程代码执行、权限提升、内存损坏等。这些漏洞影响到了北美80%以上大型医院的气动管道系统（PTS）。

据悉，有3000多家医院安装了PTS气动管道系统，这些管道连接着大型医院的不同部门。气动管道系统可使用压缩空气移动医疗用品（比如血液、药物等），有效地发挥了作用。

作为医院内部物流运输的解决方案，运输着这么敏感且重要的医疗用品，PTS的重要性不必多说，但另一方面PwnedPiper漏洞的危害也因此被无限放大。

攻击者可以利用PwnedPiper漏洞实现远程代码执行，获取员工的电子凭证、了解PTS的物理布局，最终接管医院的气动管道系统。

试想，攻击者可以选择加快运输来损坏医疗用品，也可以选择延迟交付手术急需的物品。这时医院的医疗运作完全取决于攻击者，患者的生命可能会成为攻击者勒索的筹码。

由于PTS系统的普遍性及被攻击后果的严重性，PwndPiper安全漏洞受到了相当大的重视。目前，PTS产商已经修复了8个漏洞，余下的一个漏洞CVE-2021-37160 将于未来的版本中修复。

Armis称，尽管这些内部物流运输系统很普遍，但这些系统的安全性从未被彻底分析或研究过。

这起事件也揭示了，患者的医疗保健是由多方面影响的，安全可靠的病患护理不仅源自医疗设备本身，同时也离不开医院运营基础设施的有力支撑。对这些系统给予关注，将成为我们完善医疗保健环境保障能力的一个重要里程碑。