醫院機器人存在可遠端竊密及劫持的漏洞

近年愈來愈多醫院導入機器人以節省人力及降低人員感染，不過安全廠商發現美國一家廠商的醫療機器人軟體存在重大漏洞，能讓駭客遠端劫持，威脅病患安全及醫療作業。

安全廠商Cynerio是在美國廠商Aethon的一款醫院機器人Tug中，發現統稱為JekyllBot:5的5項零時差漏洞。

Aethon Tug是部署於醫院中，用於發送藥物、清掃和運送備品等作業。這款機器人使用無線電、感測器、攝影機等技術，可以自主開門、搭電梯、或在醫院間移動而不會撞到人或物品。

Cynerio發現到的JekyllBot:5漏洞包含CVE-2022-1066、CVE-2022-26423、CVE-2022-1070、CVE-2022-27494和CVE-2022-1059，分別位於Tug 伺服器的JavaScript、API實作以及用於伺服器及機器人之間指令傳輸的WebSocket協定。其中CVE-2022-1070允許攻擊者連向Tug伺服器Websocket以接管機器人，意指可操作它遞送的物資或移動位置，風險值達9.8。CVE-2022-1066 和CVE-2022-26423可讓攻擊者新增具管理權限的用戶帳號及刪改現有帳號，以及存取用戶的加密憑證。兩者風險值為8.2。

CVE-2022-27494和CVE-2022-1059皆為影響機器人列隊管理控制台（Fleet Management Console）的跨站指令碼攻擊（XSS）漏洞，可能用於竊取cookie資料、劫持會話、網路釣魚等，風險值為7.6。

研究人員指出，這5項漏洞開採並不需很高技術能力，也不用特殊權限、或是和使用者互動，但可能引發的攻擊行為卻很危險，像是干擾送藥、送檢體、亂搞醫院電梯或門鎖、暗中拍攝病患或醫護人員、醫院影片、竊取醫療紀錄、在醫院中亂走撞傷人或跑入醫院禁地、或是劫持管理員憑證以進行其他網路攻擊或間諜行為。

所幸在研究人員通報後，Aethon已經及時釋出修補程式並部署到醫院機器人及伺服器韌體、軟體漏洞。廠商也修補了數家醫院造成機器人可被遠端存取的防火牆漏洞。