医院机器人曝 5 个零日漏洞，可完全控制机器人影响药物交付

最新的网络安全研究发现，医院机器人 Aethon Tug 曝出多达 5 个重大安全漏洞，这些漏洞可以使远程攻击者能够控制设备，并干扰药物和实验室样本的及时分发。美国网络安全和基础设施安全局（CISA）在发布的安全报告中表示，成功利用这些漏洞可以完全控制机器人功能并且暴露敏感信息。

Aethon TUG 智能自主移动机器人被用于世界各地的医院，用于运送药物、运送临床用品，并独立导航以执行不同的任务，例如清洁地板和收集餐盘。

根据中国网络安全行业门户”极牛网”GeekNB.com的梳理，这些漏洞被统称为 JekyllBot:5 ，存在于 TUG Homebase Server 组件中，攻击者可以有效地阻止药物交付，通过其集成摄像头监视患者、员工和医院内部，并获取敏感信息。

更糟糕的是，对手可能会利用这些漏洞来劫持机器人管理面板中的合法管理用户会话，并注入恶意软件以在医疗设施中传播进一步的攻击。

网络安全研究人员表示，利用这些漏洞可能使得攻击者可以在医院网络中横向移动，执行侦察并最终进行勒索软件攻击、破坏和其他网络安全威胁。

该机器人公司在去年进行的网络安全审计中发现的漏洞清单如下：

• CVE-2022-1070（CVSS 评分：9.8）-未经身份验证的攻击者可以连接到 TUG Home Base Server websocket 以控制 TUG 机器人。
• CVE-2022-1066（CVSS 评分：8.2） – 未经身份验证的攻击者可以任意添加具有管理权限的新用户以及删除或修改现有用户。
• CVE-2022-26423（CVSS 评分：8.2） – 未经身份验证的攻击者可以自由访问散列的用户凭据。
• CVE-2022-27494（CVSS 评分：7.6）- 当创建或编辑新报告时，Fleet Management Console 的“报告”选项卡容易受到存储的跨站点脚本攻击。
• CVE-2022-1059（CVSS 评分：7.6）- 车队管理控制台的“加载”选项卡容易受到反射的跨站点脚本攻击。

这些零日漏洞的利用难度非常地低，如果攻击者能够利用 JekyllBot:5，他们就可以完全接管系统控制权，获得实时摄像头馈送和设备数据的访问权限，并使用机器人对医院造成严重破坏。