医院机器人存在可远程窃密及劫持的漏洞

近年越来越多医院导入机器人以节省人力及降低人员感染,不过安全厂商发现美国一家厂商的医疗机器人软件存在重大漏洞,能让黑客远程劫持,威胁病患安全及医疗作业。

安全厂商Cynerio是在美国厂商Aethon的一款医院机器人Tug中,发现统称为JekyllBot:5的5项零时差漏洞。

Aethon Tug是部署于医院中,用于发送药物、清扫和运送备品等作业。这款机器人使用无线电、传感器、摄影机等技术,可以自主开门、搭电梯、或在医院间移动而不会撞到人或物品。

Cynerio发现到的JekyllBot:5漏洞包含CVE-2022-1066、CVE-2022-26423、CVE-2022-1070、CVE-2022-27494和CVE-2022-1059,分别位于Tug服务器的JavaScript、API实例以及用于服务器及机器人之间指令传输的WebSocket协议。其中CVE-2022-1070允许攻击者连向Tug服务器Websocket以接管机器人,意指可操作它传送的物资或移动位置,风险值达9.8。CVE-2022-1066和CVE-2022-26423可让攻击者添加具管理权限的用户账号及删改现有账号,以及访问用户的加密凭证。两者风险值为8.2。

CVE-2022-27494和CVE-2022-1059皆为影响机器人列队管理控制台(Fleet Management Console)的跨站脚本攻击(XSS)漏洞,可能用于窃取cookie资料、劫持会话、网络钓鱼等,风险值为7.6。

研究人员指出,这5项漏洞开采并不需很高技术能力,也不用特殊权限、或是和用户交互,但可能引发的攻击行为却很危险,像是干扰送药、送检体、乱搞医院电梯或门锁、暗中拍摄病患或医护人员、医院视频、窃取医疗记录、在医院中乱走撞伤人或跑入医院禁地、或是劫持管理员凭证以进行其他网络攻击或间谍行为。

所幸在研究人员通报后,Aethon已经及时发布修补程序并部署到医院机器人及服务器固件、软件漏洞。厂商也修补了数家医院造成机器人可被远程访问的防火墙漏洞。