La firma de ingeniería Aethon anunció la corrección de diversas vulnerabilidades en sus robots para hospitales Tug cuya explotación permitiría a los actores de amenazas tomar control remoto de los dispositivos comprometidos. Estas fallas, identificadas como JekyllBot:5, pueden ser explotadas sin interacción de los administradores y el ataque exitoso incluso podría interrumpir el correcto funcionamiento de dispositivos médicos críticos.
Aethon ha fabricado los robots Tug desde 2004, y actualmente hay miles de ellos en hospitales en América del Norte, Europa y Asia. Esto incluye más de 37 hospitales en E.U., el Centro Médico de la Universidad de California-San Francisco y el Hospital Stanford.
Los problemas fueron identificados por la firma de seguridad Cynerio, y recibieron puntajes de entre 7.7 y 9.8 según el Common Vulnerability Scoring System (CVSS).
Durante sus pruebas, los investigadores descubrieron lo fácil que habría sido explotar estas fallas en hospitales de todo el mundo: “La explotación de JekyllBot:5 habría permitido a los hackers obtener acceso a sistemas de vigilancia en tiempo real, datos de dispositivos médicos y sistemas de acceso, con el potencial de causar severos estragos en las instalaciones médicas”, señala el reporte.
La más severa de las fallas, identificada como CVE-2022-1070, existe debido a que las máquinas afectadas no verifican la identidad de los usuarios en ambos extremos del canal de comunicación. Este error permitiría a los hackers no autenticados conectarse al websock del servidor base de Tug y controlar los dispositivos comprometidos de forma remota.
CVE-2022-1066 y CVE-2022-26423 también son fallas de evasión que existen debido a que el software no realiza una verificación adecuada, permitiendo a los hackers maliciosos agregar nuevos usuarios con permisos de administrador, además de restringir el acceso a usuarios legítimos y acceder a credenciales cifradas.
Finalmente, CVE-2022-27494 y CVE-2022-1059 fueron descritas como fallas de scripts entre sitios (XSS) en la consola de administración de flotas. Estas fallas existen debido a que el software no neutraliza la entrada controlable por el usuario antes de colocarla en la salida, a través de la consola de administración, permitiendo a los hackers maliciosos secuestrar sesiones de usuario con altos privilegios o inyectar código malicioso en el navegador del usuario a través de la consola.
El fabricante fue notificado de inmediato y se lanzaron las actualizaciones poco después, por lo que el riesgo de seguridad ya debería haber sido mitigado. Hasta el momento no hay evidencia de explotación activa.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
