Автономные роботы, используемые в сотнях больниц, подвержены риску удаленного взлома

Десять лет назад исследователь безопасности Барнаби Джек прославился тем, что взломал по беспроводной связи больничную инсулиновую помпу прямо на сцене перед сотнями людей, чтобы продемонстрировать, как легко ее можно взломать для доставки смертельной дозы лекарства. За прошедшие годы безопасность медицинских устройств стала лучше, хотя иногда случаются громкие сбои. Но сейчас исследователи находят уязвимости в новых больничных технологиях, которые не были столь распространены десять лет назад.

Речь идет об автономных больничных роботах, которые должны быть дружелюбными, самоуправляемыми цифровыми рабочими лошадками, способными перевозить медикаменты, постельное белье, еду, лекарства и лабораторные образцы по территории больничного городка. Эти роботы, такие как роботы, созданные компанией Aethon, оснащены пространством для транспортировки критически важных товаров и доступом к системе безопасности, чтобы входить в закрытые части больницы и ездить на лифтах, и все это при сокращении затрат на рабочую силу.

Но исследователи из Cynerio, стартапа в области кибербезопасности, специализирующегося на защите больничных и медицинских систем, обнаружили в роботах Aethon пять невиданных ранее уязвимостей, которые, по их словам, позволяют злоумышленникам удаленно захватывать и контролировать этих автономных роботов - в некоторых случаях через Интернет.

Пять уязвимостей, которые Cynerio назвала JekyllBot:5, связаны не с самими роботами, а с базовыми серверами, которые используются для связи и управления роботами, передвигающимися по коридорам больниц и отелей. Баги варьируются от возможности создания хакерами новых пользователей с высоким уровнем доступа, чтобы затем войти в систему и удаленно управлять роботами и получить доступ к запрещенным зонам, подглядывать за пациентами или гостями с помощью встроенных в роботов камер или иным образом устраивать хаос.

Ашер Брасс, ведущий исследователь уязвимостей Aethon, предупредил, что для их эксплуатации требуется "очень низкий набор навыков".

По словам Cynerio, базовые серверы имеют веб-интерфейс, доступ к которому возможен из сети больницы, что позволяет "гостевым" пользователям просматривать записи с камер роботов в реальном времени и их предстоящие расписания и задачи на день без необходимости ввода пароля. Но хотя функциональность роботов была защищена учетной записью "администратора", по словам исследователей, уязвимости в веб-интерфейсе могли позволить хакеру взаимодействовать с роботами, не требуя пароля администратора для входа в систему.

Одна из пяти ошибок, по словам исследователей, позволяла дистанционно управлять роботами с помощью контроллера типа джойстика в веб-интерфейсе, а использование другой ошибки позволяло взаимодействовать с дверными замками, вызывать и ездить на лифте, открывать и закрывать ящики с лекарствами.

В большинстве случаев потенциальный риск ограничен, если доступ к базовым серверам роботов ограничивается локальной сетью, ограничивая доступ только вошедшим в систему сотрудникам. Исследователи заявили, что риск гораздо выше для больниц, гостиниц или любых других мест, где используются эти роботы, у которых базовый сервер подключен к Интернету, поскольку уязвимости могут быть задействованы из любой точки Интернета.

Cynerio заявила, что они обнаружили доказательства использования роботов с доступом в Интернет в больницах, а также в учреждениях, обеспечивающих уход за ветеранами. Компания Aethon утверждает, что ее роботы используются в сотнях больниц по всему миру, многие из которых находятся в США, и насчитывают тысячи роботов.

Ошибки были исправлены в серии обновлений программного обеспечения и прошивки, выпущенных Aethon после того, как Cynerio предупредила компанию о проблемах. Как сообщается, компания Aethon ограничила доступ серверов в Интернет, чтобы изолировать роботов от потенциальных удаленных атак, а также устранила другие уязвимости, связанные с Интернетом, которые затрагивали базовую станцию.

В заявлении, предоставленном TechCrunch, генеральный директор ST Engineering Aethon Питер Сейфф подтвердил наличие уязвимостей, но отказался отвечать на наши вопросы, например, какой процент автономных роботов его клиентов был исправлен после обновления программного обеспечения.