סיינריו חשפה סדרת פרצות Zero-day עם איום של שליטה מרחוק ברובוטים בבתי חולים
חמש חולשות שזוהו ברובוטי Tug של Aethon מאפשרות לתוקפים לעקוף את אמצעי ההגנה כדי לעקוב מרחוק אחר מטופלים, לקיים עמם אינטראקציות, לשבש חלוקת תרופות לחולים ולשבש את הפעילות היומיומית במוסדות הרפואיים
עמי רוחקס דומבה
| 14/04/2022
צילום: חברת סיינריו
חברת סיינריו (Cynerio), ספקית פתרונות אבטחה למכשור רפואי וציוד IoT, הודיעה כי חשפה ודיווחה על חמש פרצות Zero-day, המכונות יחד JekyllBot:5, המאפשרות להשתלט מרחוק על רובוטים המשמשים במאות בתי חולים ברחבי העולם.
רובוטי ה-TUG החכמים של Aethon מתוכנתים לשמש כעזר לצוותים הרפואיים והתפעוליים בבתי החולים. הם ממלאים מטלות כגון חלוקת תרופות, ניקיון חדרי חולים והובלת ציוד, תוך שהם נשענים על גלי רדיו, חיישנים, מצלמות ואמצעים טכנולוגיים נוספים כדי לפתוח דלתות, להיכנס למעליות ולנוע בכוחות עצמם מבלי להתנגש בבני אדם או בחפצים.
את חולשות ה-JekyllBot:5 גילה צוות המחקר של Cynerio. הפגיעות התגלתה בהשמשת ה- JavaScript וה- API בשרת הניהול של רובוטי הTUG- המאפשר שליטה מלאה על רובוטי ה TUG עצמם.
כמה מתרחישי הקיצון לניצול החולשות, אשר חלקן דורגו כ-CVE ברמת חומרה ודחיפות 9.8 מתוך 10: שיבוש או עיכוב במתן תרופות למטופלים ובדגימות מעבדה. הפרעה לטיפול חיוני או לניתוחים דחופים על ידי השבתה או חסימה של מעליות ומערכות נעילה של דלתות.
ניטור וצילום של מטופלים חסרי ישע, אנשי צוות רפואי ועובדים וכן תיעוד של מידע רפואי רגיש. שליטה במיקום הרובוטים וביכולות הפיזיות שלהם כדי לאפשר להם גישה לאזורים אסורים, אינטראקציות עם מטופלים ואפילו התנגשות באנשי צוות, מבקרים וציוד.
השתלטות על גלישה של משתמש לגיטימי בפורטל האונליין הייעודי של מערך הרובוטים, כדי להחדיר דרך הדפדפן תוכנה זדונית ולהשתמש בה בתקיפות סייבר עתידיות נגד אנשי IT ואבטחת מידע במוסדות.
"כדי לנצל את פרצות ה-Zero-day שנחשפו מספיקה רמה בסיסית ביותר של ידע, וגם אין צורך בהרשאות מיוחדות או במשתמש אדמין להצלחת התקיפה", אומר אשר ברס, חוקר מוביל של פרצות JekyllBot:5 וראש צוות סייבר בחברת סיינריו.
"ניצול של הפרצות בידי תוקפים פוטנציאליים עלול היה להקנות להם שליטה מלאה במערכות, גישה לדאטה ולחומר מצולם בזמן אמת ויכולת לשבש את הפעילות השוטפת ולגרום לנזקים כבדים בבתי חולים המשתמשים ברובוטים".
הודות לחשיפה, היצרן אף יכל לעדכן את חומת האש בחלק מהמוסדות, וכך למנוע גישה לרובוטים דרך כתובות ה-IP הפנימיות בזמן שהתיקונים מתבצעים.
"בתי חולים צריכים להבין שעם הקדמה והטמעת מכשור חכם ישנם גם סיכונים לא מבוטלים", אומר לאון לרמן, מייסד ומנכ"ל סיינריו. "הם זקוקים לפתרונות פרואקטיביים שמפחיתים את הסיכון ומספקים זיהוי ומענה מיידי לכל תקיפה או פעילות זדונית שמזוהה. לא ניתן לסמוך רק על הייצרנים של המכשור שייספקו את המענה האבטחתי, בתי חולים צריכים לקחת את האבטחה לידיים שלהם למען בטיחות החולים״.
חמש חולשות שזוהו ברובוטי Tug של Aethon מאפשרות לתוקפים לעקוף את אמצעי ההגנה כדי לעקוב מרחוק אחר מטופלים, לקיים עמם אינטראקציות, לשבש חלוקת תרופות לחולים ולשבש את הפעילות היומיומית במוסדות הרפואיים
צילום: חברת סיינריו
חברת סיינריו (Cynerio), ספקית פתרונות אבטחה למכשור רפואי וציוד IoT, הודיעה כי חשפה ודיווחה על חמש פרצות Zero-day, המכונות יחד JekyllBot:5, המאפשרות להשתלט מרחוק על רובוטים המשמשים במאות בתי חולים ברחבי העולם.
רובוטי ה-TUG החכמים של Aethon מתוכנתים לשמש כעזר לצוותים הרפואיים והתפעוליים בבתי החולים. הם ממלאים מטלות כגון חלוקת תרופות, ניקיון חדרי חולים והובלת ציוד, תוך שהם נשענים על גלי רדיו, חיישנים, מצלמות ואמצעים טכנולוגיים נוספים כדי לפתוח דלתות, להיכנס למעליות ולנוע בכוחות עצמם מבלי להתנגש בבני אדם או בחפצים.
את חולשות ה-JekyllBot:5 גילה צוות המחקר של Cynerio. הפגיעות התגלתה בהשמשת ה- JavaScript וה- API בשרת הניהול של רובוטי הTUG- המאפשר שליטה מלאה על רובוטי ה TUG עצמם.
כמה מתרחישי הקיצון לניצול החולשות, אשר חלקן דורגו כ-CVE ברמת חומרה ודחיפות 9.8 מתוך 10: שיבוש או עיכוב במתן תרופות למטופלים ובדגימות מעבדה. הפרעה לטיפול חיוני או לניתוחים דחופים על ידי השבתה או חסימה של מעליות ומערכות נעילה של דלתות.
ניטור וצילום של מטופלים חסרי ישע, אנשי צוות רפואי ועובדים וכן תיעוד של מידע רפואי רגיש. שליטה במיקום הרובוטים וביכולות הפיזיות שלהם כדי לאפשר להם גישה לאזורים אסורים, אינטראקציות עם מטופלים ואפילו התנגשות באנשי צוות, מבקרים וציוד.
השתלטות על גלישה של משתמש לגיטימי בפורטל האונליין הייעודי של מערך הרובוטים, כדי להחדיר דרך הדפדפן תוכנה זדונית ולהשתמש בה בתקיפות סייבר עתידיות נגד אנשי IT ואבטחת מידע במוסדות.
"כדי לנצל את פרצות ה-Zero-day שנחשפו מספיקה רמה בסיסית ביותר של ידע, וגם אין צורך בהרשאות מיוחדות או במשתמש אדמין להצלחת התקיפה", אומר אשר ברס, חוקר מוביל של פרצות JekyllBot:5 וראש צוות סייבר בחברת סיינריו.
"ניצול של הפרצות בידי תוקפים פוטנציאליים עלול היה להקנות להם שליטה מלאה במערכות, גישה לדאטה ולחומר מצולם בזמן אמת ויכולת לשבש את הפעילות השוטפת ולגרום לנזקים כבדים בבתי חולים המשתמשים ברובוטים".
הודות לחשיפה, היצרן אף יכל לעדכן את חומת האש בחלק מהמוסדות, וכך למנוע גישה לרובוטים דרך כתובות ה-IP הפנימיות בזמן שהתיקונים מתבצעים.
"בתי חולים צריכים להבין שעם הקדמה והטמעת מכשור חכם ישנם גם סיכונים לא מבוטלים", אומר לאון לרמן, מייסד ומנכ"ל סיינריו. "הם זקוקים לפתרונות פרואקטיביים שמפחיתים את הסיכון ומספקים זיהוי ומענה מיידי לכל תקיפה או פעילות זדונית שמזוהה. לא ניתן לסמוך רק על הייצרנים של המכשור שייספקו את המענה האבטחתי, בתי חולים צריכים לקחת את האבטחה לידיים שלהם למען בטיחות החולים״.
