Se han abordado hasta cinco vulnerabilidades de seguridad en los robots hospitalarios Aethon Tug que podrían permitir a atacantes remotos tomar el control de los dispositivos e interferir con la distribución oportuna de medicamentos y muestras de laboratorio.
«La explotación exitosa de estas vulnerabilidades podría causar una condición de denegación de servicio, permitir el control total de las funciones del robot o exponer información confidencial», la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dicho en un aviso publicado esta semana.
Los robots móviles autónomos inteligentes Aethon TUG se utilizan en hospitales de todo el mundo para entregar medicamentos, transportar suministros clínicos y navegar de forma independiente para realizar diferentes tareas, como limpiar pisos y recolectar bandejas de comida.
Apodado colectivamente «JekyllBot:5de Cynerio, las fallas residen en el componente TUG Homebase Server, lo que permite a los atacantes impedir la entrega de medicamentos, vigilar a los pacientes, el personal y los interiores del hospital a través de su cámara integrada y obtener acceso a información confidencial.
Peor aún, un adversario podría utilizar las debilidades como armas para secuestrar sesiones de usuarios administrativos legítimos en el portal en línea de los robots e inyectar malware para propagar más ataques en las instalaciones de atención médica.
La explotación de las fallas podría haber brindado a «los atacantes un punto de acceso para moverse lateralmente a través de las redes del hospital, realizar un reconocimiento y, finalmente, llevar a cabo ataques de ransomware, infracciones y otras amenazas», dijo la firma de seguridad de IoT para el cuidado de la salud.
La lista de deficiencias, que se descubrieron a fines del año pasado durante una auditoría en nombre de un cliente proveedor de atención médica, se encuentra a continuación:
- CVE-2022-1070 (Puntuación CVSS: 9,8) – Un atacante no autenticado puede conectarse al websocket del servidor base de TUG Home para tomar el control de los robots TUG.
- CVE-2022-1066 (Puntuación CVSS: 8,2): un atacante no autenticado puede agregar arbitrariamente nuevos usuarios con privilegios administrativos y eliminar o modificar usuarios existentes.
- CVE-2022-26423 (Puntuación CVSS: 8,2): un atacante no autenticado puede acceder libremente a las credenciales de usuario cifradas.
- CVE-2022-27494 (Puntuación CVSS: 7,6) – La pestaña «Informes» de la Consola de gestión de flotas es vulnerable a los ataques de secuencias de comandos entre sitios almacenados cuando se crean o editan nuevos informes.
- CVE-2022-1059 (Puntuación CVSS: 7,6) – La pestaña «Cargar» de la Consola de gestión de flotas es vulnerable a los ataques de secuencias de comandos entre sitios reflejados.
«Estas vulnerabilidades de día cero requerían un conjunto de habilidades muy bajo para la explotación, sin privilegios especiales y sin interacción del usuario para aprovecharlas con éxito en un ataque», dijo Asher Brass de Cynerio.
«Si los atacantes pudieron explotar JekyllBot: 5, podrían haber tomado el control del sistema por completo, obtener acceso a las imágenes de la cámara en tiempo real y a los datos del dispositivo, y causar estragos y destrucción en los hospitales usando los robots».