Gleich fünf Sicherheitslücken wurden in den Aethon Tug Krankenhausrobotern geschlossen, die es Angreifern ermöglichen könnten, die Kontrolle über die Geräte zu übernehmen und die rechtzeitige Verteilung von Medikamenten und Laborproben zu stören.
„Wenn diese Schwachstellen erfolgreich ausgenutzt werden, könnte dies zu einem Denial-of-Service-Zustand führen, die volle Kontrolle über die Roboterfunktionen ermöglichen oder sensible Informationen preisgeben“, so die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) in einem diese Woche veröffentlichten Advisory.
Die intelligenten, autonomen, mobilen Roboter Aethon TUG werden in Krankenhäusern auf der ganzen Welt eingesetzt, um Medikamente auszuliefern, klinisches Material zu transportieren und sich selbstständig zu bewegen, um verschiedene Aufgaben wie die Reinigung von Böden oder das Einsammeln von Essenstabletts zu erledigen.
Die von Cynerio als „JekyllBot:5“ bezeichneten Schwachstellen befinden sich in der TUG Homebase Server-Komponente und ermöglichen es Angreifern, die Auslieferung von Medikamenten zu behindern, Patienten, Personal und Krankenhausräume über die integrierte Kamera zu überwachen und sich Zugang zu vertraulichen Informationen zu verschaffen.
Schlimmer noch: Ein Angreifer könnte die Schwachstellen ausnutzen, um legitime administrative Benutzersitzungen im Online-Portal des Roboters zu kapern und Malware einzuschleusen, um weitere Angriffe auf Gesundheitseinrichtungen zu verbreiten.
Die Ausnutzung der Schwachstellen hätte „Angreifern einen Zugangspunkt verschaffen können, um sich seitlich durch Krankenhausnetzwerke zu bewegen, Erkundungen durchzuführen und schließlich Ransomware-Angriffe, Einbrüche und andere Bedrohungen auszuführen“, so das IoT-Sicherheitsunternehmen im Gesundheitswesen.
Die Liste der Mängel, die Ende letzten Jahres bei einer Prüfung im Auftrag eines Kunden aus dem Gesundheitswesen entdeckt wurden, ist unten aufgeführt.
CVE-2022-1070 (CVSS-Score: 9.8) – Ein nicht authentifizierter Angreifer kann sich mit dem Websocket des TUG Home Base Servers verbinden und die Kontrolle über die TUG-Roboter übernehmen.
(CVSS-Score: 9.8) – Ein nicht authentifizierter Angreifer kann sich mit dem Websocket des TUG Home Base Servers verbinden, um die Kontrolle über TUG-Roboter zu übernehmen. CVE-2022-1066 (CVSS-Score: 8.2) – Ein nicht authentifizierter Angreifer kann willkürlich neue Benutzer mit administrativen Rechten hinzufügen und bestehende Benutzer löschen oder ändern.
(CVSS score: 8.2) – Ein nicht authentifizierter Angreifer kann willkürlich neue Benutzer mit administrativen Rechten hinzufügen und bestehende Benutzer löschen oder ändern. CVE-2022-26423 (CVSS-Score: 8.2) – Ein nicht authentifizierter Angreifer kann ungehindert auf gehashte Benutzeranmeldedaten zugreifen.
(CVSS-Score: 8.2) – Ein nicht authentifizierter Angreifer kann ungehindert auf gehashte Benutzerdaten zugreifen. CVE-2022-27494 (CVSS-Score: 7.6) – Die Registerkarte „Berichte“ der Fleet Management Console ist anfällig für gespeicherte Cross-Site-Scripting-Angriffe, wenn neue Berichte erstellt oder bearbeitet werden.
(CVSS-Score: 7.6) – Die Registerkarte „Berichte“ der Flottenmanagement-Konsole ist anfällig für gespeicherte Cross-Site-Scripting-Angriffe, wenn neue Berichte erstellt oder bearbeitet werden. CVE-2022-1059 (CVSS-Score: 7.6) – Die Registerkarte „Laden“ der Flottenmanagement-Konsole ist anfällig für reflektierte Cross-Site-Scripting-Angriffe.
„Diese Zero-Day-Schwachstellen erfordern nur sehr geringe Fähigkeiten zur Ausnutzung, keine besonderen Privilegien und keine Benutzerinteraktion, um erfolgreich für einen Angriff genutzt zu werden“, so Asher Brass von Cynerio.
„Wenn es Angreifern gelungen wäre, JekyllBot:5 auszunutzen, hätten sie die vollständige Kontrolle über das System übernehmen, sich Zugang zu Echtzeit-Kameraübertragungen und Gerätedaten verschaffen und mit den Robotern in Krankenhäusern Chaos und Zerstörung anrichten können.“