Un fabricant de robots de soins hospitaliers a corrigé les vulnérabilités de ses dispositifs dévoilés par des chercheurs en cybersécurité.
Dès qu’il est question d’appareils autonomes, il faut toujours écarter les risques de prise de contrôle par des cybercriminels. L’enjeu est d’autant plus important lorsqu’il s’agit de robots utilisés dans des hôpitaux. Une étude a dévoilé cinq vulnérabilités qui offriraient un angle d’attaque.
JekyllBot:5 ou les vulnérabilités des robots de soins hospitaliers
La population robotique s’accroît rapidement et se fait une place dans tous les secteurs. Dans les hôpitaux, des robots autonomes assistent le personnel dans la logistique comme pour le transport des médicaments, du matériel de soins, des échantillons de laboratoire, etc.
Aethon est l’un des nombreux fabricants de robots pour les hôpitaux. Son dispositif baptisé Tug peut accéder dans les zones restreintes de l’hôpital et même prendre un ascenseur. Mais ces systèmes ne sont pas infaillibles tel que l’ont prouvé les chercheurs de Cynerio.
Cynerio est une startup de cybersécurité pour les soins de santé IoT. En effet, les chercheurs ont découvert une série de vulnérabilités dans les robots de soins hospitaliers d’Aethon. Ces bogues qu’ils appellent JekyllBot:5 pourraient être exploités par les cybercriminels pour prendre le contrôle de ces robots à distance.
Corriger les bogues
Les vulnérabilités mises en évidence par Cynerio concernent principalement les serveurs de base utilisés pour communiquer avec les robots. Dès lors qu’ils sont connectés à Internet, les attaquants pourraient se servir des robots pour accéder aux zones sensibles ou accéder aux données personnelles des patients.
La plus importante des bogues vient du fait que Tug ne procède pas à une identification de l’utilisateur dans les deux extrémités du canal de communication. De même, deux autres vulnérabilités des robots de soins hospitaliers d’Aethon s’expliquent par l’absence d’une vérification d’autorisation. Enfin, les autres défaillances du système se rapportent à la vulnérabilité du script intersite (XSS) de la flotte Tug.
Ces failles permettraient par exemple aux attaquants de se connecter au serveur pour prendre le contrôle des robots. Ils pourraient alors modifier les informations comme ajouter de nouveaux utilisateurs ou supprimer l’accès des utilisateurs déjà enregistrés. Enfin, ils pourraient injecter des codes malveillants dans le système.
Aethon a corrigé les cinq vulnérabilités pour tous les serveurs Tug, notamment en restreignant les serveurs exposés à Internet et en réglant d’autres bogues.
- Partager l'article :