Ο προμηθευτής Aethon έχει επιδιορθώσει πέντε κρίσιμες ευπάθειες σε ρομπότ νοσοκομείων που χρησιμοποιούνται για την παράδοση ιατρικών προμηθειών.
Μπορεί να σας ακούγεται σαν επιστημονική φαντασία, αλλά τα έξυπνα αυτόνομα κινητά ρομπότ Aethon TUG χρησιμοποιούνται σε εκατοντάδες νοσοκομεία σε όλο τον κόσμο για την παράδοση φαρμάκων και προμηθειών συντήρησης και την εκτέλεση απλών εργασιών.
Δείτε επίσης: Ανίδεοι χάκερ πέρασαν μήνες μέσα σε ένα δίκτυο γιατί δεν ήξεραν τι να κάνουν
Τα ρομπότ της Aethon είναι αυτόνομες συσκευές που χρησιμοποιούνται από εκατοντάδες νοσοκομεία για την εκτέλεση βασικών, επαναλαμβανόμενων εργασιών για την αύξηση του υπάρχοντος εργατικού δυναμικού.
Τα TUG εκτελούν θελήματα όπως παράδοση φαρμάκων, καθαρισμός και παράδοση λευκών ειδών και άλλων προμηθειών σε επαγγελματίες υγείας. Το Stanford είναι ένας πάροχος υγειονομικής περίθαλψης που χρησιμοποιεί τα ρομπότ σε παραδόσεις φαρμάκων, τα οποία μπορούν να κινούνται με χαμηλή ταχύτητα κάτω από προκαθορισμένες διαδρομές.
Δείτε επίσης: Οι επιθέσεις Ransom DDoS έπεσαν σε επίπεδα ρεκόρ φέτος
Σύμφωνα με την Cynerio που εντόπισε τις ευπάθειες, τα πέντε τρωτά σημεία επιτρέπουν στους εισβολείς να αναλάβουν τις δραστηριότητες ενός ρομπότ, συμπεριλαμβανομένης της λήψης φωτογραφιών, της κατασκοπείας του νοσοκομείου σε πραγματικό χρόνο μέσω ροών κάμερας, της πρόσβασης στα αρχεία ασθενών, της διακοπής ή παρεμπόδισης της παροχής φαρμάκου, τα οποία όλα θα μπορούσαν να επηρεάσουν τη φροντίδα του ασθενούς.
Επιπλέον, η ομάδα λέει ότι τα σφάλματα θα μπορούσαν να χρησιμοποιηθούν για να “πάρουν τον έλεγχο της κίνησης του ρομπότ και να τα ρίξουν σε ανθρώπους ή αντικείμενα ή να τα χρησιμοποιήσουν για να παρενοχλήσουν ασθενείς και προσωπικό”.
Τα τρωτά σημεία, στα οποία έχουν πλέον εκχωρηθεί CVE, είναι τα παρακάτω:
- CVE-2022-1066 (CVSS 8.2): Λείπουν έλεγχοι authorization, επιτρέποντας στους εισβολείς να προσθέσουν ή να τροποποιήσουν υπάρχοντες λογαριασμούς χρηστών
- CVE-2022-26423 (CVSS 8.2): Λείπουν έλεγχοι authorization, επιτρέποντας την ελεύθερη πρόσβαση σε hashed credentials
- CVE-2022-1070 (CVSS 9.8): Αποτυχίες επαλήθευσης end users, επιτρέποντας στους εισβολείς να έχουν πρόσβαση στον TUG Home Base Server και να αναλάβουν τον έλεγχο των συνδεδεμένων ρομπότ
- CVE-2022-27494 (CVSS 7.6): Το input που ελέγχεται από τον χρήστη δεν γίνεται neutralized, επιτρέποντας στους εισβολείς XSS να ενεργοποιούν τις σελίδες αναφοράς
- CVE-2022-1059 (CVSS 7.6): Το input που ελέγχεται από τον χρήστη δεν γίνεται neutralized πριν εμφανιστεί σε μια πύλη web, και έτσι οι χρήστες της σελίδας Fleet ενδέχεται να υποστούν επιθέσεις reflected XSS
Τα κρίσιμα ελαττώματα εντοπίστηκαν κατά τη διάρκεια ελέγχου για λογαριασμό ενός παρόχου υγειονομικής περίθαλψης πελάτη. Ενώ ο πελάτης της Cynerio δεν είχε συνδέσει τα ρομπότ του στο διαδίκτυο — και, ως εκ τούτου, ήταν ασφαλής από την ενεργό exploit — η εταιρεία κυβερνοασφάλειας είπε ότι “αρκετά” νοσοκομεία είχαν ρομπότ συνδεδεμένα στο Διαδίκτυο που μπορούσαν να ελέγχονται εξ αποστάσεως.
Ο πωλητής ειδοποιήθηκε για τα τρωτά σημεία μέσω της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA).
Δείτε επίσης: Η αστυνομία έκλεισε το hacking forum RaidForums
Η Cynerio συνεργάστηκε με την Aethon για την ανάπτυξη κατάλληλων ενημερώσεων κώδικα και η τελευταία έκδοση του TUG firmware περιέχει διορθώσεις. Επιπλέον, η Aethon ανέπτυξε ενημερώσεις firewall σε νοσοκομεία για να περιορίσει την πρόσβαση του κοινού.
Πηγή πληροφοριών: zdnet.com
