fbpx

סיינריו חשפה סדרת פרצות Zero-day עם איום של שליטה מרחוק ברובוטים בבתי חולים

cyber lock 2

חברת סיינריו (Cynerio), המובילה בפתרונות אבטחה למכשור רפואי וציוד IoT, הודיעה כי חשפה ודיווחה על חמש פרצות Zero-day, המכונות יחד JekyllBot:5, המאפשרות להשתלט מרחוק על רובוטים המשמשים במאות בתי חולים ברחבי העולם.

רובוטי ה-TUG החכמים של Aethon מתוכנתים לשמש כעזר לצוותים הרפואיים והתפעוליים בבתי החולים. הם ממלאים מטלות כגון חלוקת תרופות, ניקיון חדרי חולים והובלת ציוד, תוך שהם נשענים על גלי רדיו, חיישנים, מצלמות ואמצעים טכנולוגיים נוספים כדי לפתוח דלתות, להיכנס למעליות ולנוע בכוחות עצמם מבלי להתנגש בבני אדם או בחפצים. אלא שהטכנולוגיה המאפשרת להם לשוטט כך באופן עצמאי ברחבי בית החולים, היא גם זו שהופכת את החולשות למסוכנות כל כך בידיים הלא נכונות.

את חולשות ה-JekyllBot:5 גילה צוות המחקר של Cynerio. הפגיעות התגלתה בהשמשת ה-JavaScript וה-API בשרת הניהול של רובוטי הTUG- המאפשר שליטה מלאה על רובוטי ה-TUG עצמם.

להלן כמה מתרחישי הקיצון לניצול החולשות, אשר חלקן דורגו כ-CVE ברמת חומרה ודחיפות 9.8 מתוך 10:

  • שיבושאועיכובבמתןתרופותלמטופליםובדגימותמעבדה
  • הפרעהלטיפולחיוניאולניתוחיםדחופיםעלידיהשבתהאוחסימהשלמעליותומערכותנעילהשלדלתות
  • ניטורוצילוםשלמטופליםחסריישע, אנשיצוותרפואיועובדיםוכןתיעודשלמידערפואירגיש
  • שליטהבמיקוםהרובוטיםוביכולותהפיזיותשלהםכדילאפשרלהםגישהלאזוריםאסורים, אינטראקציותעםמטופליםואפילוהתנגשותבאנשיצוות, מבקריםוציוד
  • השתלטותעלגלישהשלמשתמשלגיטימיבפורטלהאונלייןהייעודישלמערךהרובוטים, כדילהחדירדרךהדפדפןתוכנהזדוניתולהשתמשבהבתקיפותסייברעתידיותנגדאנשי IT ואבטחתמידעבמוסדות.

"כדי לנצל את פרצות ה-Zero-day שנחשפו מספיקה רמה בסיסית ביותר של ידע, וגם אין צורך בהרשאות מיוחדות או במשתמש אדמין להצלחת התקיפה", אומר אשר ברס, חוקר מוביל של פרצות JekyllBot:5 וראש צוות סייבר בחברת סיינריו. "ניצול של הפרצות בידי תוקפים פוטנציאליים עלול היה להקנות להם שליטה מלאה במערכות, גישה לדאטה ולחומר מצולם בזמן אמת ויכולת לשבש את הפעילות השוטפת ולגרום לנזקים כבדים בבתי חולים המשתמשים ברובוטים".

סיינריו מסרה דיווח מלא על החולשות בהתאם להליך שהגדירה CISA, הסוכנות הפדרלית לאבטחת סייבר ותשתיות בארה"ב. בעקבות חשיפת האיום, היצרן צמצם את הסכנה הגלומה בחולשות עם עדכוני גרסה (פאצ'ים) שכבר יושמו בציי הרובוטים של Aethon בכל בתי החולים המשתמשים בהם, כולל עדכון משמעותי שחייב החלפת חומרה ועדכונים במערכות ההפעלה של רובוטים במספר בתי חולים.

הודות לחשיפה, היצרן אף יכל לעדכן את חומת האש בחלק מהמוסדות, וכך למנוע גישה לרובוטים דרך כתובות ה-IP הפנימיות בזמן שהתיקונים מתבצעים.

"בתי חולים צריכים להבין שעם הקדמה והטמעת מכשור חכם ישנם גם סיכונים לא מבוטלים", אומר לאון לרמן, מייסד ומנכ"ל סיינריו. "הם זקוקים לפתרונות פרואקטיביים שמפחיתים את הסיכון ומספקים זיהוי ומענה מיידי לכל תקיפה או פעילות זדונית שמזוהה. לא ניתן לסמוך רק על הייצרנים של המכשור שייספקו את המענה האבטחתי, בתי חולים צריכים לקחת את האבטחה לידיים שלהם למען בטיחות החולים״.

טוני מלינקוביץ'
טוני הוא העורך הראשי שלנו כאן באתר, עם ידע רחב בחומרה ומקורות מהירים, טוני הוא גם הכתב המהיר ביותר שלנו, בנוסף לכתבות המעולות של טוני הוא גם אחראי על רוב הביקורות שלנו באתר וגם על המלל וחוות הדעת על חלק מסיקורי הוידאו שלנו.
דילוג לתוכן