Een buizenpostsysteem dat duizenden ziekenhuizen wereldwijd gebruiken voor bijvoorbeeld het versturen van afgenomen bloed en medicatie bevat verschillende kwetsbaarheden waardoor aanvallers het systeem kunnen compromitteren en saboteren. Leverancier Swisslog Healthcare heeft updates uitgebracht om de kwetsbaarheden in het TransLogic PTS-systeem te verhelpen. Een kwetsbaarheid in het uploaden van firmware wordt op een later moment opgelost, maar in de tussentijd zijn er mitigatiemaatregelen gepubliceerd.

Het PTS-systeem wordt door tachtig procent van de ziekenhuizen in Noord-Amerika gebruikt en is bij meer dan drieduizend ziekenhuizen wereldwijd geïnstalleerd. Via het buizenpostsysteem kan er snel allerlei materiaal worden verstuurd en ontvangen. Deze systemen zijn niet vanaf het internet toegankelijk, maar een aanvaller die toegang tot het netwerk of controlepaneel heeft kan verschillende aanvallen uitvoeren, zo ontdekte securitybedrijf Armis, dat de kwetsbaarheden de naam "PwnedPiper" gaf.

Zo blijkt het systeem een open Telnetserver te draaien. Het wachtwoord om als root in te kunnen loggen is echter hardcoded in de firmware. Verder blijkt dat het systeem voor de installatie van firmware-updates geen gebruikmaakt van een digitale handtekening en de firmware zelf niet versleuteld is. Een aanvaller kan zo zijn eigen firmware installeren en volledige controle over het systeem krijgen.

Verder vonden onderzoekers in het controlepaneel van het systeem verschillende kwetsbaarheden waardoor geheugencorruptie mogelijk is en een aanvaller willekeurige code kan uitvoeren. Tevens blijkt dat een gebruikersscript met rootrechten wordt uitgevoerd, waardoor een aanvaller zijn rechten kan verhogen. Zodra er toegang is verkregen behoren onder andere een ransomware-aanval of manipulatie van het systeem tot de mogelijkheden.

Het PTS-systeem ondersteunt verschillende snelheden. Door het aanpassen van de snelheid kan een aanvaller verzonden goederen beschadigen, aldus de onderzoekers. Ook een denial of service-aanval waardoor het systeem niet meer is te gebruiken is een risico. Afsluitend stellen de onderzoekers dat het bij de transitie van analoge naar digitale systemen belangrijk is om met security rekening te houden.