Có tới 5 lỗ hổng bảo mật đã được giải quyết trong các rô bốt của bệnh viện Aethon Tug có thể cho phép những kẻ tấn công từ xa chiếm quyền kiểm soát các thiết bị và can thiệp vào việc phân phối thuốc và mẫu thí nghiệm kịp thời.
“Việc khai thác thành công các lỗ hổng này có thể gây ra tình trạng từ chối dịch vụ, cho phép kiểm soát hoàn toàn các chức năng của robot hoặc làm lộ thông tin nhạy cảm”, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cho biết trong một thông báo được công bố trong tuần này.
Robot di động tự động thông minh Aethon TUG được sử dụng trong các bệnh viện trên toàn thế giới để cung cấp thuốc, vận chuyển vật tư y tế và điều hướng độc lập xung quanh để thực hiện các nhiệm vụ khác nhau như lau sàn và thu dọn khay thức ăn.
Gọi chung là “JekyllBot: 5“của Cynerio, các lỗ hổng nằm trong cấu phần Máy chủ TUG Homebase, cho phép những kẻ tấn công cản trở việc phân phối thuốc, bệnh nhân khảo sát, nhân viên và nội thất bệnh viện thông qua camera tích hợp của nó một cách hiệu quả và có quyền truy cập vào thông tin bí mật.
Thậm chí tệ hơn, kẻ thù có thể vũ khí hóa các điểm yếu để chiếm đoạt các phiên người dùng quản trị hợp pháp trong cổng trực tuyến của rô bốt và đưa phần mềm độc hại vào để tuyên truyền các cuộc tấn công tiếp theo vào các cơ sở chăm sóc sức khỏe.
Công ty bảo mật IoT chăm sóc sức khỏe cho biết việc khai thác các lỗ hổng này có thể mang lại cho “những kẻ tấn công một điểm truy cập để di chuyển ngang qua mạng bệnh viện, thực hiện trinh sát và cuối cùng thực hiện các cuộc tấn công, vi phạm ransomware và các mối đe dọa khác”.
Dưới đây là danh sách những thiếu sót, được phát hiện vào cuối năm ngoái trong cuộc kiểm toán thay mặt cho khách hàng là nhà cung cấp dịch vụ chăm sóc sức khỏe –
CVE-2022-1070 (Điểm CVSS: 9,8) – Kẻ tấn công chưa được xác thực có thể kết nối với websocket của Máy chủ cơ sở TUG để kiểm soát các rô bốt TUG.
CVE-2022-1066 (Điểm CVSS: 8.2) – Kẻ tấn công không được xác thực có thể tự ý thêm người dùng mới với các đặc quyền quản trị và xóa hoặc sửa đổi người dùng hiện có.
CVE-2022-26423 (Điểm CVSS: 8,2) – Kẻ tấn công chưa được xác thực có thể tự do truy cập thông tin đăng nhập của người dùng đã băm.
CVE-2022-27494 (Điểm CVSS: 7.6) – Tab “Báo cáo” của Bảng điều khiển quản lý hạm đội dễ bị tấn công tạo kịch bản chéo trang được lưu trữ khi các báo cáo mới được tạo hoặc chỉnh sửa.
CVE-2022-1059 (Điểm CVSS: 7.6) – Tab “Tải” của Bảng điều khiển quản lý hạm đội dễ bị tấn công kịch bản xuyên trang.
Asher Brass của Cynerio cho biết: “Những lỗ hổng zero-day này yêu cầu một bộ kỹ năng rất thấp để khai thác, không có đặc quyền đặc biệt và không có sự tương tác của người dùng để được tận dụng thành công trong một cuộc tấn công.
“Nếu những kẻ tấn công có thể khai thác JekyllBot: 5, chúng có thể hoàn toàn chiếm quyền kiểm soát hệ thống, có quyền truy cập vào nguồn cấp dữ liệu thiết bị và camera thời gian thực, đồng thời tàn phá và phá hủy các bệnh viện bằng cách sử dụng robot.”
.
