Aethon TUG机器人中现已修补的JekyllBot：5漏洞暴露了三个通信接口，两个API和一个websocket接口（风险）。

很多组织正在采用物联网解决方案来自动化其设施和医院中重复和耗时的任务。虽然机器人和其他设备可以释放宝贵人力资源并提高效率，但它们也可能带来组织以前从未处理过的风险。

今天，Aethon TUG披露了五个严重漏洞，这是一系列智能机器人，旨在跨设施运输食物，药物，实验室标本和其他用品。TUG已经部署在世界各地的医院中，它使用传感器和摄像头在走廊上导航，并可以通过Wi-Fi与电梯和自动门进行交互。

JekyllBot：5 漏洞

这些漏洞是由医疗保健物联网安全公司Cynerio的研究人员在客户医院的一次活动中发现的。通过分析电梯网络流量中的一些异常情况，包括布局图（行动路线）和来自机器人的视频馈送（收集）他们找到了一个门户，该门户用于监视和管理部署在医院内的TUG机器人。对被称为TUG Home Base服务器的管理门户的分析揭示了五个单独的安全问题和攻击媒介。研究人员称它们为JekyllBot：5。

服务器公开三个通信接口，一个在端口 8081 上运行的基于 Web 的 API （v3），一个用于向端口 8080 上的机器人发送命令的 websocket 接口，以及在标准 HTTP 端口 80 上运行的 Web 服务和较旧的 API （v2）。

“由于本文档中列举的漏洞，如果上述列表中的后两个接口（80和8080）中的任何一个对攻击者开放，就可能使系统及其机器人被完全接管，”研究人员在他们的报告中说。

阻止这些端口本身不足以防止Cynerio Live团队发现的最严重的漏洞。

v2 API（端口 80）在执行某些请求或操作时未正确检查授权。这可能允许未经身份验证的攻击者添加具有管理权限的新用户并修改现有用户（的权限）。此漏洞被描述为 CVE-2022-1066，并被定义为权限提升问题。它在 CVSS 量表上被评为 8.2 分（满分 10 分（高）严重性分数）。

在 v3 API（端口 8081）中发现了另一个具有相同严重性但与 CVE-2022-26423 一样的权限提升漏洞。此漏洞使未经身份验证的攻击者能够访问散列的用户密码，然后可以使用暴力破解这些密码。

一个被跟踪为CVE-2022-1070（9.8 CVSS分数）的关键漏洞位于websocket界面中，源于TUG Home Base服务器和机器人之间的不正确身份验证。这允许经过身份验证的攻击者连接到服务器并完全控制机器人。

“极端情况下，这种未经授权的访问可能导致攻击者操纵机器人说出未经授权或辱骂性的短语来骚扰患者和工作人员，控制或关闭智能电梯和门以干扰危急患者或操作，甚至改变药物分配到患者护理处导致预期结果被破坏或危及的程度。“Cynerio研究人员在他们的报告中说。

攻击者还可以访问机器人的拍照和视频录制功能，使他们能够监视易受攻击的患者或工作人员。由于该门户通过虚拟操纵杆公开运动控制，因此攻击者还可能将机器人撞向人或其他敏感医疗设备。

最后两个漏洞 CVE-2022-27494 和 CVE-2022-1059 允许通过门户的 Web 界面进行跨站点脚本 （XSS） 攻击。其中之一可能允许攻击者将恶意JavaScript代码注入到队列管理控制台的“报告”选项卡中，该选项卡将在查看时执行经过身份验证的用户的浏览器。这种类型的攻击可能允许攻击者劫持管理用户会话并将恶意软件注入用户的浏览器，这些恶意软件可能使针对设施的IT网络和基础设施的进一步攻击成为可能。

虽然TUG Home Base服务器旨在通过本地网络访问，但Cynerio团队发现了这些服务器的几个实例——这些服务器直接暴露在互联网上并通知了其所有者。

修复 JekyllBot：5 漏洞

Cynerio团队与机器人制造商Aethon和美国网络安全和基础设施安全局（CISA）密切合作，协调这些漏洞的披露。供应商已发布软件和固件补丁来解决这些问题。这些缺陷会影响版本24之前的所有版本的机器人。

“每个Aethon客户医院的机器人都应用了几个补丁，包括一个需要更换固件的主要补丁和一些医院机器人的操作系统更新，”研究人员说。

此外，Aethon能够更新已知具有易受攻击机器人的特定医院的防火墙，以便在推出修复程序时阻止公众通过医院的IP地址访问机器人。

医疗保健领域的网络安全研究主要集中在直接参与监测患者和管理药物，MRI和其他类型的扫描仪的设备上，这些设备的中断或滥用可能会对患者健康产生直接的负面影响。然而，正如这份报告和其他报告所显示的那样，医院内部的后勤任务（如随身携带物品）也越来越自动化，这些系统的中断也会影响工作人员有效工作或应对紧急情况的能力。（本文出自SCA安全通信联盟，转载请注明出处。）