Вендор Aethon исправил пять критических уязвимостей в больничных роботах, используемых для доставки медикаментов.
Мир кибербезопасности, связанный со здравоохранением, все еще остается относительно нетронутым. В последние годы мы наблюдали вспышки атак шифровальщиков на больницы, уязвимости в программном обеспечении, включая те, которые теоретически могут остановить работу кардиостимулятора, и бесчисленные утечки данных пациентов в медицинских учреждениях по всему миру.
Однако, если нет явной финансовой выгоды, многие киберпреступники будут игнорировать медицинское оборудование, предпочитая поражать компании, которые могут обеспечить им незаконный доход.
Это не означает, что производители или специалисты по безопасности должны игнорировать уязвимости и проблемы, связанные с медициной, особенно по мере развития цифрового здравоохранения, персонализированной медицины и дистанционного обслуживания.
В медицинских устройствах могут отсутствовать адекватные меры безопасности, о чем недавно стало известно из обнародованной компанией Cynerio информации о «Jekyllbot:5» - пяти критических уязвимостях в роботах Aethon TUG.
Мобильные роботы компании Aethon - это автономные устройства, используемые сотнями больниц для выполнения основных, повторяющихся задач, и дополнения существующего штата сотрудников.
TUG выполняют разнообразные поручения - включая доставку лекарств, уборку, доставку белья и других принадлежностей медицинским работникам. Stanford является одним из медицинских учреждений, использующих роботов, которые могут двигаться со скоростью 2 миль в час по заранее определенным маршрутам, для доставки лекарств.
Согласно Cynerio, пять уязвимостей позволяют злоумышленникам взять под контроль действия робота, включая фотосъемку, наблюдение за больницей в режиме реального времени через камеры, доступ к записям пациентов, нарушение или блокирование доставки лекарств, что может повлиять на уход за пациентами.
Кроме того, по словам команды, ошибки могут быть использованы для перехвата пользовательских сессий или «захвата контроля над движением робота – например, заставить его врезаться в людей или предметы, или использовать робота для преследования пациентов и персонала».
Ниже приведен список уязвимостей, которые теперь присутствуют в базе CVE:
- CVE (CVSS 8.2): Отсутствие проверки авторизации, что позволяет неаутентифицированному злоумышленнику добавлять или изменять существующие учетные записи пользователей.
- CVE (CVSS 8.2): Отсутствие проверок авторизации, позволяющее получить свободный доступ к хэшированным учетным данным.
- CVE (CVSS 9.8): Сбои в проверке конечных пользователей, позволяющие злоумышленникам получить доступ к базовому серверу TUG и взять под контроль подключенных роботов.
- CVE (CVSS 7.6): Управляемый пользователем ввод не контролируется, что позволяет XSS-злоумышленникам срабатывать на страницах отчетов.
- CVE (CVSS 7.6): Управляемый пользователем ввод не контролируется перед отображением на веб-портале, поэтому пользователи страницы Fleet могут быть подвержены отраженным XSS-атакам.
Критические уязвимости были обнаружены в ходе аудита, проведенного по поручению клиента - медицинской организации. Хотя клиент Cynerio не подключал своих роботов к Интернету - и, следовательно, они были в безопасности от активных атак - компания по кибербезопасности сообщила, что «несколько» больниц имели подключенных к Интернету роботов, которыми можно было удаленно управлять из исследовательской лаборатории Cynerio Live.
Поставщик роботов был уведомлен об уязвимости через Агентство по кибербезопасности и инфраструктурной безопасности США (CISA).
Cynerio сотрудничала с Aethon при разработке подходящих патчей, и последняя версия прошивки TUG содержит исправления. Кроме того, компания Aethon разработала обновления брандмауэров в больницах заказчика для ограничения публичного доступа к устройствам.
Источник: https://www.zdnet.com