Vor einem Jahrzehnt Der Sicherheitsforscher Barnaby Jack hackte bekanntermaßen drahtlos eine Insulinpumpe eines Krankenhauses live auf der Bühne vor Hunderten von Menschen, um zu demonstrieren, wie leicht sie kompromittiert werden konnte, um eine tödliche Dosis eines Medikaments zu verabreichen. In den vergangenen Jahren hat sich die Sicherheit von Medizinprodukten verbessert, wenn auch mit gelegentlichen hochkarätigen Schluckauf. Aber Forscher finden jetzt Schwachstellen in neueren Krankenhaustechnologien, die vor einem Jahrzehnt nicht so allgegenwärtig waren.
Betreten Sie autonome Krankenhausroboter, die vermeintlich freundlichen, selbstgesteuerten digitalen Arbeitspferde, die Medikamente, Bettwäsche, Lebensmittel, Medikamente und Laborproben über einen Krankenhauscampus transportieren können. Diese Roboter, wie die vom Roboterhersteller Aethon gebauten, sind mit Platz für den Transport kritischer Güter und Sicherheitszugang ausgestattet, um eingeschränkte Teile des Krankenhauses zu betreten und mit Aufzügen zu fahren, während gleichzeitig die Arbeitskosten gesenkt werden.
Aber Forscher von Cynerio, einem Cybersicherheits-Startup, das sich auf die Sicherung von Krankenhaus- und Gesundheitssystemen konzentriert, entdeckten eine Reihe von fünf nie zuvor gesehenen Schwachstellen in Aethon-Robotern, die es böswilligen Hackern ihrer Meinung nach ermöglichten, diese autonomen Roboter aus der Ferne zu entführen und zu steuern – und in einigen Fällen über das Internet.
Die fünf Schwachstellen, die Cynerio gemeinsam JekyllBot:5 nennt, liegen nicht bei den Robotern selbst, sondern bei den Basisservern, die zur Kommunikation mit und Steuerung der Roboter verwendet werden, die die Flure der Krankenhäuser und Hotels durchqueren. Die Fehler reichen von der Möglichkeit für Hacker, neue Benutzer mit High-Level-Zugriff zu erstellen, um sich dann anzumelden und die Roboter fernzusteuern und auf eingeschränkte Bereiche zuzugreifen, Patienten oder Gäste mit den eingebauten Kameras des Roboters auszuspähen oder anderweitig Chaos zu verursachen.
Asher Brass, der leitende Forscher für die Aethon-Schwachstellen, warnte, dass die Schwachstellen „sehr geringe Fähigkeiten zur Ausnutzung“ erfordern.
Ein Screenshot von einer der Kameras eines Aethon TUG-Roboters. Bildnachweis: Cynerio
Laut Cynerio verfügen die Basisserver über eine Webschnittstelle, auf die vom Krankenhausnetzwerk aus zugegriffen werden kann, sodass „Gast“-Benutzer Echtzeit-Roboterkamera-Feeds und ihre bevorstehenden Zeitpläne und Aufgaben für den Tag anzeigen können, ohne ein Passwort zu benötigen. Aber obwohl die Funktionalität der Roboter durch ein „Admin“-Konto geschützt war, sagten die Forscher, dass die Schwachstellen in der Weboberfläche es einem Hacker ermöglicht haben könnten, mit den Robotern zu interagieren, ohne dass ein Administratorpasswort für die Anmeldung erforderlich wäre.
Einer der fünf Fehler, sagten die Forscher, setzte Roboter mithilfe eines Joystick-ähnlichen Controllers in der Weboberfläche der Fernsteuerung aus, während ein anderer der Fehler ausgenutzt wurde, um mit Türschlössern zu interagieren, Aufzüge zu rufen und zu fahren sowie Medikamentenschubladen zu öffnen und zu schließen .
Das potenzielle Risiko ist größtenteils begrenzt, wenn der Zugriff auf die Basisserver der Roboter auf das lokale Netzwerk beschränkt ist und der Zugriff nur auf eingeloggte Mitarbeiter beschränkt ist. Die Forscher sagten, das Risiko sei für Krankenhäuser, Hotels oder andere Orte, die diese Roboter mit einem mit dem Internet verbundenen Basisserver verwenden, weitaus größer, da die Schwachstellen von überall im Internet ausgelöst werden können.
Cynerio sagte, sie hätten Hinweise auf internetexponierte Roboter in Krankenhäusern sowie in Einrichtungen gefunden, die Veteranen versorgen. Aethon bewirbt seine Roboter in Hunderten von Krankenhäusern auf der ganzen Welt, viele davon in den Vereinigten Staaten, und macht Tausende von Robotern aus.
Die Fehler wurden in einer Reihe von Software- und Firmware-Updates behoben, die von Aethon veröffentlicht wurden, nachdem Cynerio das Unternehmen auf die Probleme aufmerksam gemacht hatte. Aethon soll internetexponierte Server eingeschränkt haben, um die Roboter vor potenziellen Remote-Angriffen zu isolieren, und andere webbezogene Schwachstellen behoben haben, die die Basisstation betrafen.
In einer gegenüber Tech abgegebenen Erklärung bestätigte Peter Seiff, CEO von ST Engineering Aethon, die Schwachstellen, lehnte es jedoch ab, unsere Fragen zu beantworten, z. B. wie viel Prozent der autonomen Roboter seiner Kunden nach dem Software-Update gepatcht wurden.
Weiterlesen: