Критическая уязвимость позволяла удаленно управлять медицинским роботом Tug

Производитель мобильных роботов Aethon устранил ряд уязвимостей в своих больничных роботах Tug. Эксплуатация проблем позволяла киберпреступникам удаленно управлять тысячами медицинских устройств, сообщает SecurityLab.

Использование пяти уязвимостей, получивших название JekyllBot:5, не требовало особых привилегий или взаимодействия с пользователем. После эксплуатации киберпреступники могли получить доступ к учетным данным пользователей и медицинским записям, выполнить блокировку лифтов и дверей, наблюдать за помещениями, внести изменения в процессе ухода за пациентами и приемом лекарств.

Уязвимости были обнаружены специалистами из фирмы Cynerio. Проблемы получили оценки от 7,6 до 9,8 по шкале CVSS. К счастью, ни одна из этих уязвимостей не использовалась в реальных атаках. Специалисты обнаружили «несколько» больниц в США и по всему миру, которые использовали подключенных к интернету роботов. В каждом из этих случаев исследователи могли использовать уязвимости для удаленного управления роботами из исследовательской лаборатории Cynerio Live. Cynerio сообщила производителю роботов Aethon о своих находках, и компания исправила проблемы в последней версии прошивки роботов.

В ходе анализа роботов Tug исследователи из Cynerio обнаружили аномальный сетевой трафик, который, по их мнению, был связан с датчиками лифта и дверей роботов. Они обнаружили соединение от лифта к серверу с открытым HTTP-портом, предоставлявшее доступ к web-порталу компании, на котором отображался статус роботов Tug, карты больниц, а также фото и видео того, что роботы видели в реальном времени.

По словам экспертов, портал также позволял неавторизованному пользователю управлять роботами. Кроме того, исследователи обнаружили некоторые уязвимости в HTML на странице web-портала Tub, которые позволяли злоумышленнику внедрять вредоносный javascript-код на любой компьютер, запрашивавший данные о роботах.

В частности, уязвимости содержались в реализации JavaScript и API TUG Homebase Server, а также в web-сокете, который полагался на абсолютное доверие между сервером и роботами для передачи им команд. Самая опасная из проблем (CVE-2022-1070) получила оценку в 9,8 балла по шкале CVSS. Уязвимость связана с тем, что продукт не проверяет личность пользователей на обоих концах канала связи или не обеспечивает целостность канала. Это может позволить неавторизованным злоумышленникам, подключиться к web-узлу домашнего базового сервера Tug и удаленно управлять роботами.

«Методы /api/tug/v3/ и /api/tug/v2/ были свободно доступны через HTTP на портах 8081 и 80 и могли использоваться злоумышленниками, не прошедшими проверку подлинности, для получения фотографий в реальном времени от роботов TUG, координат устройства и другой потенциально конфиденциальной информации», — предупредили исследователи.