Croc

Критическая уязвимость позволяла удаленно управлять медицинским роботом Tug

Критическая уязвимость позволяла удаленно управлять медицинским роботом Tug Критическая уязвимость позволяла удаленно управлять медицинским роботом Tug Критическая уязвимость позволяла удаленно управлять медицинским роботом Tug
13.04.2022

Производитель мобильных роботов Aethon устранил ряд уязвимостей в своих больничных роботах Tug. Эксплуатация проблем позволяла киберпреступникам удаленно управлять тысячами медицинских устройств, сообщает SecurityLab.

Использование пяти уязвимостей, получивших название JekyllBot:5, не требовало особых привилегий или взаимодействия с пользователем. После эксплуатации киберпреступники могли получить доступ к учетным данным пользователей и медицинским записям, выполнить блокировку лифтов и дверей, наблюдать за помещениями, внести изменения в процессе ухода за пациентами и приемом лекарств.

Уязвимости были обнаружены специалистами из фирмы Cynerio. Проблемы получили оценки от 7,6 до 9,8 по шкале CVSS. К счастью, ни одна из этих уязвимостей не использовалась в реальных атаках. Специалисты обнаружили «несколько» больниц в США и по всему миру, которые использовали подключенных к интернету роботов. В каждом из этих случаев исследователи могли использовать уязвимости для удаленного управления роботами из исследовательской лаборатории Cynerio Live. Cynerio сообщила производителю роботов Aethon о своих находках, и компания исправила проблемы в последней версии прошивки роботов.

В ходе анализа роботов Tug исследователи из Cynerio обнаружили аномальный сетевой трафик, который, по их мнению, был связан с датчиками лифта и дверей роботов. Они обнаружили соединение от лифта к серверу с открытым HTTP-портом, предоставлявшее доступ к web-порталу компании, на котором отображался статус роботов Tug, карты больниц, а также фото и видео того, что роботы видели в реальном времени.

По словам экспертов, портал также позволял неавторизованному пользователю управлять роботами. Кроме того, исследователи обнаружили некоторые уязвимости в HTML на странице web-портала Tub, которые позволяли злоумышленнику внедрять вредоносный javascript-код на любой компьютер, запрашивавший данные о роботах.

В частности, уязвимости содержались в реализации JavaScript и API TUG Homebase Server, а также в web-сокете, который полагался на абсолютное доверие между сервером и роботами для передачи им команд. Самая опасная из проблем (CVE-2022-1070) получила оценку в 9,8 балла по шкале CVSS. Уязвимость связана с тем, что продукт не проверяет личность пользователей на обоих концах канала связи или не обеспечивает целостность канала. Это может позволить неавторизованным злоумышленникам, подключиться к web-узлу домашнего базового сервера Tug и удаленно управлять роботами.

«Методы /api/tug/v3/ и /api/tug/v2/ были свободно доступны через HTTP на портах 8081 и 80 и могли использоваться злоумышленниками, не прошедшими проверку подлинности, для получения фотографий в реальном времени от роботов TUG, координат устройства и другой потенциально конфиденциальной информации», — предупредили исследователи.


Комментарии 0


Назад