דוקטור, הרובוט חולה: נחשפו פרצות שפוגעות במכשור במאות בתי חולים

חמש פרצות Zero-day, שמאפשרות להשתלט מרחוק על רובוטים שפועלים במאות בתי חולים ברחבי העולם, נחשפו באחרונה. את הפרצות, שזכו לכינוי JekyllBot:5, איתרו חוקרי סיינריו, שפועלת בעולם האבטחה למכשור רפואי וציוד אינטרנט של הדברים.

הפרצות התגלו ברובוטי TUG החכמים של Aethon, שתוכנתו לשמש כעזר לצוותים הרפואיים והתפעוליים בבתי החולים. הם ממלאים מטלות כגון חלוקת תרופות, ניקיון חדרי חולים והובלת ציוד, תוך שהם נשענים על גלי רדיו, חיישנים, מצלמות ואמצעים טכנולוגיים נוספים – כדי לפתוח דלתות, להיכנס למעליות ולנוע בכוחות עצמם בלא להתנגש בבני אדם, או בחפצים.

הטכנולוגיה שמאפשרת להם לשוטט כך באופן עצמאי ברחבי בית החולים היא גם זו שהופכת את החולשות למסוכנות כל כך כשהן נופלות לידיים הלא נכונות. הפגיעות התגלתה בהשמשת ג'אווה סקריפט ו-API בשרת הניהול של הרובוטים הללו, והיא מאפשרת שליטה מלאה עליהם. חלק מהפגיעויות זכו לדירוג CVE ברמת חומרה ודחיפות 9.8 מתוך 10.

ל-מה הפרצות יכולות היו לגרום?

החוקרים ציינו כמה תרחישי קיצון לשימוש זדוני בפרצות שנתגלו: שיבוש או עיכוב במתן תרופות למטופלים ובדגימות מעבדה; הפרעה לטיפולים חיוניים ואף לניתוחים דחופים על ידי השבתה או חסימה של מעליות ומערכות נעילה של דלתות; ניטור וצילום של מטופלים חסרי ישע, אנשי צוות רפואי ועובדים, ותיעוד של מידע רפואי רגיש; שליטה במיקום הרובוטים וביכולות הפיזיות שלהם, כדי לאפשר להם גישה לאזורים אסורים, אינטראקציות עם מטופלים ואפילו התנגשות באנשי צוות, מבקרים וציוד; והשתלטות על גלישה של משתמש לגיטימי בפורטל האונליין הייעודי של מערך הרובוטים, כדי להחדיר דרך הדפדפן נוזקה – ולהשתמש בה בתקיפות סייבר עתידיות נגד אנשי IT ואבטחת מידע במוסדות.

אשר ברס, ראש צוות סייבר בסיינריו ומי שהוביל את החקירה של הפרצות הללו, אמר ש-" מספיקה רמה בסיסית ביותר של ידע כדי לנצל את פרצות ה-Zero-day שנחשפו. בנוסף, אין צורך בהרשאות מיוחדות או במשתמש אדמין להצלחת התקיפה".

ברס הוסיף כי "ניצול של הפרצות בידי תוקפים פוטנציאליים עלול היה להקנות להם שליטה מלאה במערכות, גישה לנתונים ולחומר מצולם בזמן אמת, וכן יכולת לשבש את הפעילות השוטפת ולגרום לנזקים כבדים בבתי חולים המשתמשים ברובוטים".

סיינריו דיווחה על החולשות ל-CISA, הסוכנות לאבטחת תשתיות וסייבר בארצות הברית. בעקבות חשיפת האיום, היצרן הנפיק עדכוני גרסה, כולל עדכון משמעותי שחייב החלפת חומרה ועדכונים במערכות ההפעלה של רובוטים בכמה בתי חולים.