סטארטאפ ישראלי זיהה חמש חולשות ברובוטי Tug של Aethon, אשר מאפשרות לתוקפים לעקוף את אמצעי ההגנה כדי לעקוב מרחוק אחר מטופלים, לקיים עמם אינטראקציות, לשבש חלוקת תרופות לחולים ולשבש את הפעילות היומיומית במוסדות הרפואיים
חברת סיינריו (Cynerio), המובילה בפתרונות אבטחה למכשור רפואי וציוד IoT (האינטרנט של הדברים), הודיעה כי חשפה ודיווחה על חמש פרצות Zero-day, המכונות יחד JekyllBot:5, המאפשרות להשתלט מרחוק על רובוטים המשמשים במאות בתי חולים ברחבי העולם.
רובוטי ה-TUG החכמים של Aethon מתוכנתים לשמש כעזר לצוותים הרפואיים והתפעוליים בבתי החולים. הם ממלאים מטלות כגון חלוקת תרופות, ניקיון חדרי חולים והובלת ציוד, תוך שהם נשענים על גלי רדיו, חיישנים, מצלמות ואמצעים טכנולוגיים נוספים כדי לפתוח דלתות, להיכנס למעליות ולנוע בכוחות עצמם מבלי להתנגש בבני אדם או בחפצים. אלא שהטכנולוגיה המאפשרת להם לשוטט כך באופן עצמאי ברחבי בית החולים, היא גם זו שהופכת את החולשות למסוכנות כל כך בידיים הלא נכונות.
את חולשות ה-JekyllBot:5 גילה צוות המחקר של Cynerio. הפגיעות התגלתה בהשמשת ה-JavaScript וה- API בשרת הניהול של רובוטי הTUG- המאפשר שליטה מלאה על רובוטי ה TUG עצמם.
את החולשות החמורות ניתן לנצל באופן הבא:
- שיבוש או עיכוב במתן תרופות למטופלים ובדגימות מעבדה.
- הפרעה לטיפול חיוני או לניתוחים דחופים על ידי השבתה או חסימה של מעליות ומערכות נעילה של דלתות.
- ניטור וצילום של מטופלים חסרי ישע, אנשי צוות רפואי ועובדים וכן תיעוד של מידע רפואי רגיש.
- שליטה במיקום הרובוטים וביכולות הפיזיות שלהם כדי לאפשר להם גישה לאזורים אסורים, אינטראקציות עם מטופלים ואפילו התנגשות באנשי צוות, מבקרים וציוד.
- השתלטות על גלישה של משתמש לגיטימי בפורטל האונליין הייעודי של מערך הרובוטים, כדי להחדיר דרך הדפדפן תוכנה זדונית ולהשתמש בה בתקיפות סייבר עתידיות נגד אנשי IT ואבטחת מידע במוסדות.
"כדי לנצל את פרצות ה-Zero-day שנחשפו מספיקה רמה בסיסית ביותר של ידע, וגם אין צורך בהרשאות מיוחדות או במשתמש אדמין להצלחת התקיפה", אומר אשר ברס, חוקר מוביל של פרצות JekyllBot:5 וראש צוות סייבר בחברת סיינריו.
סיינריו מסרה דיווח מלא על החולשות בהתאם להליך שהגדירה CISA, הסוכנות הפדרלית לאבטחת סייבר ותשתיות בארה"ב. בעקבות חשיפת האיום, היצרן צמצם את הסכנה הגלומה בחולשות עם עדכוני גרסה (פאצ'ים) שכבר יושמו בציי הרובוטים של Aethon בכל בתי החולים המשתמשים בהם, כולל עדכון משמעותי שחייב החלפת חומרה ועדכונים במערכות ההפעלה של רובוטים במספר בתי חולים. הודות לחשיפה, היצרן אף יכול לעדכן את חומת האש בחלק מהמוסדות, וכך למנוע גישה לרובוטים דרך כתובות ה-IP הפנימיות בזמן שהתיקונים מתבצעים.
"כתב אישום נגד התעשייה"
"ייתכן שפרצות JekyllBot:5 הן ייחודיות לרובוטים הספציפיים, אבל האיומים - בהחלט לא. מחקרים עדכניים מראים שמיליוני מכשירים רפואיים, שיוצרו על ידי מאות יצרנים, מכילים מנעד של בעיות קריטיות שעלולות להשפיע על הטיפול הרפואי", אומר דניאל ברודי, CTO ומייסד שותף בחברת הסייבר סיינריו. "יתרה מזאת: סדרת JekyllBot:5 היא הראשונה שמגשרת על הפער שבין אפשרות תיאורטית לתקיפה, לבין תקיפות שהוכחו בפועל. זו כבר קפיצה שהופכת את האיום לממשי".
"אם לומר זאת בבוטות, אבטחת המידע הכשילה את שירותי הרפואה. התעשייה הבטיחה לצרכני השירותים ביטחון, אבל הגידול העקבי בכמות תקיפות הסייבר, למרות כל הפתרונות שנפרסו כדי לעצור אותן, הוא כתב אישום נגד התעשייה שלנו וראיה חותכת להבטחות שלא הצלחנו לממש", מוסיף ברודי. "אנחנו חייבים להשתפר. והצעד הראשון הוא להודות שמה שנעשה עד כה פשוט לא עובד. הצעד הבא הוא לעשות את מה שכן יעבוד. במה שנוגע לאבטחת מכשירי ה-IoT הרפואיים, הגיע הזמן להסתכל אל מעבר למוצרי המדף - ולהתחיל להתמודד עם הסיכון".