Maar liefst vijf beveiligingsproblemen zijn verholpen in de ziekenhuisrobots van Aethon Tug, waardoor aanvallers op afstand de controle over de apparaten kunnen krijgen en de tijdige distributie van medicatie en laboratoriummonsters kunnen verstoren.
“Succesvol gebruik van deze kwetsbaarheden kan een denial-of-service-toestand veroorzaken, volledige controle over robotfuncties mogelijk maken of gevoelige informatie blootleggen”, aldus de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) zei in een advies dat deze week is gepubliceerd.
De slimme autonome mobiele robots van Aethon TUG worden in ziekenhuizen over de hele wereld gebruikt om medicijnen te leveren, klinische benodigdheden te vervoeren en onafhankelijk te navigeren om verschillende taken uit te voeren, zoals het schoonmaken van vloeren en het verzamelen van maaltijdschalen.
collectief genaamd “JekyllBot: 5” door Cynerio, zitten de fouten in de TUG Homebase Server-component, waardoor aanvallers effectief de levering van medicijnen kunnen belemmeren, patiënten, personeel en ziekenhuisinterieurs kunnen bewaken via de geïntegreerde camera en toegang kunnen krijgen tot vertrouwelijke informatie.
Erger nog, een tegenstander zou de zwakke punten kunnen bewapenen om legitieme administratieve gebruikerssessies in het online portaal van de robots te kapen en malware te injecteren om verdere aanvallen op zorginstellingen te verspreiden.
De exploitatie van de fouten had “aanvallers een toegangspunt kunnen geven om lateraal door ziekenhuisnetwerken te gaan, verkenningen uit te voeren en uiteindelijk ransomware-aanvallen, inbreuken en andere bedreigingen uit te voeren”, aldus het IoT-beveiligingsbedrijf voor de gezondheidszorg.
De lijst met tekortkomingen, die eind vorig jaar werden ontdekt tijdens een audit in opdracht van een cliënt van een zorgaanbieder, staat hieronder:
- CVE-2022-1070 (CVSS-score: 9,8) – Een niet-geverifieerde aanvaller kan verbinding maken met de TUG Home Base Server-websocket om de controle over TUG-robots over te nemen.
- CVE-2022-1066 (CVSS-score: 8,2) – Een niet-geverifieerde aanvaller kan willekeurig nieuwe gebruikers toevoegen met beheerdersrechten en bestaande gebruikers verwijderen of wijzigen.
- CVE-2022-26423 (CVSS-score: 8,2) – Een niet-geverifieerde aanvaller heeft vrijelijk toegang tot gehashte gebruikersreferenties.
- CVE-2022-27494 (CVSS-score: 7,6) – Het tabblad “Rapporten” van de Fleet Management Console is kwetsbaar voor opgeslagen cross-site scripting-aanvallen wanneer nieuwe rapporten worden gemaakt of bewerkt.
- CVE-2022-1059 (CVSS-score: 7,6) – Het tabblad “Laden” van de Fleet Management Console is kwetsbaar voor gereflecteerde cross-site scripting-aanvallen.
“Deze zero-day-kwetsbaarheden vereisten een zeer lage vaardigheden voor uitbuiting, geen speciale privileges en geen gebruikersinteractie om met succes te worden gebruikt bij een aanval”, zei Asher Brass van Cynerio.
“Als aanvallers JekyllBot:5 konden misbruiken, hadden ze de systeemcontrole volledig kunnen overnemen, toegang hebben gekregen tot realtime camerafeeds en apparaatgegevens en met behulp van de robots verwoesting en vernietiging in ziekenhuizen hebben aangericht.”
