Vulnérabilités critiques découvertes dans les robots hospitaliers

Le fournisseur Aethon a corrigé cinq vulnérabilités critiques dans les robots hospitaliers utilisés pour livrer des fournitures médicales.

Le monde des questions de cybersécurité liées à la santé est encore relativement épargné. Au cours des dernières années, nous avons constaté l’impact de épidémies de rançongiciels dans les hôpitaux; vulnérabilités logicielles, y compris celles qui pourraient, en théorie, arrêter un stimulateur cardiaque de travailet d’innombrables fuites de données de patients chez des prestataires du monde entier.

Cependant, à moins qu’il n’y ait un avantage financier évident, de nombreux cyberattaquants ignoreront les dispositifs médicaux au profit des entreprises susceptibles de leur fournir des revenus illicites.

Cela ne signifie pas que les fournisseurs ou les défenseurs doivent ignorer les vulnérabilités et les problèmes de sécurité entourant la médecine, d’autant plus que la santé numérique, la médecine personnalisée et les soins à distance continuent de se développer.

Les dispositifs médicaux peuvent ne pas bénéficier des mesures de sécurité adéquates, comme l’a récemment révélé Cyneriola divulgation publique de Jekyllbot : 5 (.PDF), cinq vulnérabilités critiques dans Aethon Robots TUG.

Continuer à lire: Black Hat : comment votre stimulateur cardiaque pourrait devenir une menace interne pour la sécurité nationale

Les robots mobiles d’Aethon sont des appareils autonomes utilisés par des centaines d’hôpitaux pour effectuer des tâches basiques et répétitives afin d’augmenter les effectifs existants.

Les TUG font des courses, y compris la livraison de médicaments, le nettoyage et le dépôt de linge et d’autres fournitures aux professionnels de la santé. Stanford est un fournisseur de soins de santé qui utilise les robots dans les livraisons de médicaments, qui peuvent se déplacer à 2 mph sur des itinéraires prédéterminés.

Selon Cynerio, les cinq vulnérabilités permettent aux attaquants de prendre en charge les activités d’un robot, y compris la prise de photos ; espionner l’hôpital en temps réel via les flux de caméras, accéder aux dossiers des patients ; perturber ou bloquer l’administration des médicaments, ce qui pourrait avoir un impact sur les soins aux patients.

De plus, l’équipe affirme que les bugs pourraient être utilisés pour détourner des sessions utilisateur ou “prendre le contrôle du mouvement du robot et les écraser sur des personnes ou des objets, ou les utiliser pour harceler les patients et le personnel”.

Les vulnérabilités, désormais attribuées aux CVE, sont ci-dessous :

  • CVE-2022-1066 (CVSS 8.2) : Vérifications d’autorisation manquantes, permettant à des attaquants non authentifiés d’ajouter ou de modifier des comptes d’utilisateurs existants
  • CVE-2022-26423 (CVSS 8.2) : vérifications d’autorisation manquantes, permettant un accès gratuit aux informations d’identification hachées
  • CVE-2022-1070 (CVSS 9.8) : Échecs de vérification des utilisateurs finaux, permettant aux attaquants d’accéder au serveur TUG Home Base et de prendre le contrôle des robots connectés
  • CVE-2022-27494 (CVSS 7.6) : l’entrée contrôlée par l’utilisateur n’est pas neutralisée, ce qui permet aux attaquants XSS de se déclencher sur les pages de rapport
  • CVE-2022-1059 (CVSS 7.6) : les entrées contrôlées par l’utilisateur ne sont pas neutralisées avant d’être affichées sur un portail Web. Les utilisateurs de la page Fleet peuvent donc être soumis à des attaques XSS réfléchies.

Les défauts critiques ont été découverts lors d’un audit pour le compte d’un fournisseur de soins de santé client. Alors que le client de Cynerio n’avait pas connecté ses robots à Internet – et, par conséquent, ils étaient à l’abri d’un exploit actif – la société de cybersécurité a déclaré que “plusieurs” hôpitaux disposaient de robots connectés à Internet qui pouvaient être contrôlés à distance dans le laboratoire de recherche Cynerio Live.

Le fournisseur a été informé des vulnérabilités par l’intermédiaire de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis.

Cynerio a travaillé avec Aethon pour développer des correctifs appropriés, et la dernière version du micrologiciel TUG contient des correctifs. De plus, Aethon a développé des mises à jour de pare-feu dans les hôpitaux clients pour restreindre l’accès public.

Couverture précédente et connexe


Vous avez un conseil ? Entrez en contact en toute sécurité via WhatsApp | Signal au +447713 025 499, ou plus à Keybase : charlie0


Leave a Comment