Casa > cibernético Notícias > JekyllBot:5 Vulnerabilidades em robôs móveis Aethon TUG (CVE-2022-1066)
CYBER NEWS

JekyllBotGenericName:5 Vulnerabilidades em robôs móveis Aethon TUG (CVE-2022-1066)

Cinco vulnerabilidades de segurança, chamado JekyllBot:5 (CVE-2022-1066, CVE-2022-26423, CVE-2022-1070, CVE-2022-27494, e CVE-2022-1059) foram fixados em robôs móveis autônomos inteligentes Aethon TUG. Felizmente, as vulnerabilidades não foram exploradas na natureza.

JekyllBotGenericName:5 Vulnerabilidades em robôs móveis Aethon TUG

Os robôs móveis são amplamente utilizados em hospitais para entregar medicamentos e suprimentos de manutenção hospitalar. Eles também são capazes de executar tarefas simples de trabalho manual. Os robôs, Contudo, foram encontrados vulneráveis a uma série de problemas, incluindo controle remoto, que pode permitir que os agentes de ameaças acessem credenciais de usuários e registros médicos, entre outras tarefas maliciosas. Quaisquer vulnerabilidades em robôs hospitalares estão ameaçando pacientes médicos, equipamentos e equipe, como eles lidam com muitos detalhes sensíveis, e exigem liberdade de movimento para realizar seus trabalhos.




O JekyllBot:5 vulnerabilidades podem permitir que invasores executem qualquer uma das seguintes atividades maliciosas:

  • Veja imagens em tempo real através da câmera do robô;
  • Acesse os prontuários médicos do paciente;
  • Faça vídeos e fotos de pacientes e do interior do hospital;
  • Interferir no atendimento ao paciente e obstruir elevadores hospitalares e sistemas de travamento de portas;
  • Assuma o controle do robô e derrube-o;
  • Interrompa as tarefas de manutenção regulares;
  • Perturbe (ou roubar) entrega robótica de medicamentos para pacientes;
  • Sequestre sessões de usuários administrativos legítimos no portal online dos robôs para injetar malware por meio do navegador, e realizar novos ataques cibernéticos em membros da equipe de TI e segurança em instalações de saúde.

JekyllBotGenericName: 5 vulnerabilidades: Descrição técnica (CVE-2022-1066, CVE-2022-26423, CVE-2022-1070, CVE-2022-27494, e CVE-2022-1059)

CVE-2022-1066 foi classificado 8.2 fora de 10 na escala CVSS. A vulnerabilidade interfere na capacidade do software de realizar uma verificação de autorização. Como um resultado, um invasor não autenticado pode adicionar arbitrariamente novos usuários com privilégios administrativos e excluir ou modificar usuários existentes.

CVE-2022-26423, também avaliado 8.2 fora de 10 na escala CVSS, pode permitir que um agente de ameaças não autenticado acesse livremente credenciais de usuário com hash.

CVE-2022-1070 tem uma classificação altamente crítica de 9.8 fora de 10 na escala CVSS. A falha permite que um invasor não autenticado se conecte ao websocket do TUG Home Base Server e assuma o controle dos robôs vulneráveis.

CVE-2022-27494, com uma classificação de 7.6, é uma vulnerabilidade XSS. De acordo com a descrição oficial, “a guia “Relatórios” do Fleet Management Console é vulnerável a scripts entre sites armazenados (XSS) ataques ao criar ou editar novos relatórios.”

por fim, CVE-2022-1059, novamente com um 7.6 Avaliação, é uma vulnerabilidade XSS refletida. Mais especificamente, a guia de carregamento do Fleet Management Console é propensa a ataques XSS refletidos.

Mais detalhes técnicos estão disponíveis em o relatório compilado por pesquisadores da Cynerio.

Mais sobre Aethon TUG Robots

A empresa Aethon foi fundada em 2001. Lançou seu primeiro robô TUG no mercado em 2004. Um dos principais casos de uso dos robôs é para hospitais, como eles são programados para lidar com tarefas comuns relacionadas à saúde, como o transporte de medicamentos, limpeza de pisos, coletando bandejas de refeição, entre outras tarefas semelhantes.

Outras vulnerabilidades médicas reveladas recentemente

Em março 2022, o assim chamado Acesso:7 vulnerabilidades foi reportado, afetando o agente Axeda da PTC usado por vários fornecedores em uma variedade de indústrias, principalmente saúde e finanças. Acesso:7 falhas podem permitir a execução remota de código e controle total do dispositivo. Eles também podem permitir que hackers acessem dados confidenciais ou alterem as configurações de dispositivos expostos.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo