Les failles ne nécessitent qu’un “très faible niveau de compétences pour être exploitées”
Les chercheurs en cybersécurité spécialisés dans les systèmes IoT de santé ont découvert cinq vulnérabilités graves qui peuvent être exploitées pour pirater à distance les robots mobiles autonomes TUG d’Aethon. Les robots TUG sont utilisés par des centaines d’hôpitaux en Amérique du Nord, en Europe et en Asie pour transporter des marchandises, du matériel et des fournitures cliniques. Leur rôle est de donner au personnel plus de temps pour se concentrer sur les soins aux patients. Cependant, pour pouvoir accomplir leurs tâches, les robots ont besoin d’une certaine liberté de mouvement et d’un accès aux données sensibles, ce qui peut en faire une cible intéressante pour les pirates. La société Cynerio, spécialisée dans la cybersécurité des soins de santé, a déclaré avoir découvert les bogues dans les robots TUG d’Aethon en décembre dernier, puis avoir « travaillé en étroite collaboration » avec le fabricant à partir de janvier, dans le cadre du processus de divulgation des vulnérabilités critiques de l’Agence fédérale de cybersécurité et de sécurité des infrastructures. Aethon a déclaré avoir pris des « mesures immédiates » après avoir reçu les informations de la CISA.
Les robots mobiles sont largement utilisés dans les hôpitaux pour livrer des médicaments et des fournitures d’entretien hospitalier. Ils sont également capables d’exécuter des tâches manuelles simples. Ils sont censés être conviviaux et capables de transporter du linge de lit, de la nourriture, des échantillons de laboratoire et des médicaments dans tout l’établissement hospitalier. Ces robots, cependant, ont été jugés vulnérables à une série de problèmes qui pourrait permettre aux pirates d’accéder aux informations d’identification des utilisateurs et aux dossiers médicaux, entre autres tâches malveillantes. Toutes les vulnérabilités des robots hospitaliers menacent les patients médicaux, matériel et personnel, car ils traitent beaucoup de détails sensibles, et exigent la liberté de mouvement pour effectuer leur travail.
Les cinq vulnérabilités de sécurité, appelé JekyllBot:5 (CVE-2022-1066, CVE-2022-26423, CVE-2022-1070, CVE-2022-27494, et CVE-2022-1059) ont été corrigés dans les robots mobiles autonomes intelligents Aethon TUG. Heureusement, les vulnérabilités n’ont pas été exploitées à l’état sauvage. Les vulnérabilités ont été découverts par les chercheurs de Cynerio, une startup spécialisée dans la cybersécurité et la sécurisation des systèmes hospitaliers et de santé.
Les cinq vulnérabilités, que Cynerio appelle JekyllBot:5, ne concernent pas les robots eux-mêmes, mais les serveurs de base utilisés pour communiquer avec les robots qui traversent les couloirs des hôpitaux et des hôtels et les contrôler. Les bogues permettent aux pirates de créer de nouveaux utilisateurs disposant d’un accès de haut niveau afin de se connecter et de contrôler à distance les robots, d’accéder aux zones d’accès restreint, d’espionner les patients ou les invités à l’aide des caméras intégrées au robot ou de semer la pagaille. Asher Brass, le chercheur principal sur les vulnérabilités d’Aethon, a prévenu que l’exploitation de ces failles nécessitait « un ensemble de compétences très faible ».
Selon Cynerio, les serveurs de base sont dotés d’une interface web accessible depuis le réseau de l’hôpital, ce qui permet aux utilisateurs “invités” de visualiser en temps réel les images des caméras des robots, ainsi que leurs programmes et tâches de la journée, sans avoir besoin d’un mot de passe. Mais bien que la fonctionnalité des robots soit protégée par un compte “admin”, les chercheurs ont déclaré que les vulnérabilités de l’interface web auraient pu permettre à un pirate d’interagir avec les robots sans avoir besoin d’un mot de passe d’administrateur pour se connecter. Selon les chercheurs, l’un des cinq bogues permettait de contrôler les robots à distance à l’aide d’un contrôleur de type joystick dans l’interface Web, tandis qu’un autre bogue permettait d’interagir avec les serrures de porte, d’appeler et de prendre l’ascenseur, et d’ouvrir et de fermer les tiroirs à médicaments.
Dans la plupart des cas, le risque potentiel est limité si l’accès aux serveurs de base des robots est confiné au réseau local, limitant l’accès aux seuls employés connectés. Les chercheurs ont déclaré que le risque était bien plus grand pour les hôpitaux, les hôtels ou tout autre lieu utilisant ces robots dont le serveur de base est connecté à Internet, puisque les vulnérabilités peuvent être déclenchées de n’importe où sur Internet.
Le JekyllBot:5 les vulnérabilités pourraient permettre aux attaquants d’effectuer l’une des activités malveillantes suivantes :
voir des images en temps réel via la caméra du robot ;
accéder aux dossiers médicaux des patients ;
prendre des vidéos et des photos des patients et de l’intérieur de l’hôpital ;
interférer avec les soins aux patients et obstruer les ascenseurs et les systèmes de verrouillage des portes de l’hôpital ;
prendre le contrôle du robot et le planter ;
interrompre les tâches de maintenance régulières ;
perturber (ou voler) livraison robotisée de médicaments aux patients ;
détourner des sessions d’utilisateurs administratifs légitimes dans le portail en ligne des robots pour injecter des logiciels malveillants via leur navigateur, et mener d’autres cyberattaques contre les membres de l’équipe informatique et de sécurité dans les établissements de santé.
JekyllBot: 5 Vulnérabilités: Description technique (CVE-2022-1066, CVE-2022-26423, CVE-2022-1070, CVE-2022-27494, et CVE-2022-1059)
CVE-2022-1066 a été évalué 8.2 de 10 à l’échelle CVSS (Common Vulnerability Scoring System). La vulnérabilité interfère avec la capacité du logiciel à effectuer une vérification d’autorisation. Par conséquent, un attaquant non authentifié peut arbitrairement ajouter de nouveaux utilisateurs avec des privilèges administratifs et supprimer ou modifier des utilisateurs existants.
CVE-2022-26423, aussi noté 8.2 de 10 à l’échelle CVSS, pourrait permettre à un auteur de menace non authentifié d’accéder librement aux informations d’identification d’utilisateur hachées.
CVE-2022-1070 a une note très critique de 9.8 de 10 à l’échelle CVSS. La faille permet à un attaquant non authentifié de se connecter au websocket TUG Home Base Server et de prendre le contrôle des robots vulnérables.
CVE-2022-27494, avec une note de 7.6, est une vulnérabilité XSS. Selon la description officielle, "l’onglet “Rapports” de la console de gestion de flotte est vulnérable aux scripts inter-sites stockés (XSS) attaques lors de la création ou de la modification de nouveaux rapports.
Enfin, CVE-2022-1059, encore avec un 7.6 évaluation, est une vulnérabilité XSS reflétée. Plus précisement, l’onglet de chargement de la console de gestion de flotte est sujet aux attaques XSS réfléchies.
Cynerio a déclaré avoir trouvé des preuves de robots exposés à Internet dans des hôpitaux ainsi que dans des établissements fournissant des soins aux anciens combattants.Les bogues ont été corrigés dans une série de mises à jour du logiciel et du micrologiciel publiées par Aethon, après que Cynerio ait alerté l’entreprise sur ces problèmes. Aethon aurait limité les serveurs exposés à Internet afin d’isoler les robots d’éventuelles attaques à distance, et corrigé d’autres vulnérabilités liées au Web qui affectaient la station de base.
Source : Cynerio, developpez.com
