Aethon ha fabricado los robots Tug desde 2004, y actualmente hay miles de ellos en hospitales en América del Norte, Europa y Asia. Esto incluye más de 37 hospitales en E.U., el Centro Médico de la Universidad de California-San Francisco y el Hospital Stanford.
Los problemas fueron identificados por la firma de seguridad Cynerio, y recibieron puntajes de entre 7.7 y 9.8 según el Common Vulnerability Scoring System (CVSS).
Durante sus pruebas, los investigadores descubrieron lo fácil que habría sido explotar estas fallas en hospitales de todo el mundo: “La explotación de JekyllBot:5 habría permitido a los hackers obtener acceso a sistemas de vigilancia en tiempo real, datos de dispositivos médicos y sistemas de acceso, con el potencial de causar severos estragos en las instalaciones médicas”, señala el reporte.
La más severa de las fallas, identificada como CVE-2022-1070, existe debido a que las máquinas afectadas no verifican la identidad de los usuarios en ambos extremos del canal de comunicación. Este error permitiría a los hackers no autenticados conectarse al websock del servidor base de Tug y controlar los dispositivos comprometidos de forma remota.
CVE-2022-1066 y CVE-2022-26423 también son fallas de evasión que existen debido a que el software no realiza una verificación adecuada, permitiendo a los hackers maliciosos agregar nuevos usuarios con permisos de administrador, además de restringir el acceso a usuarios legítimos y acceder a credenciales cifradas.
Finalmente, CVE-2022-27494 y CVE-2022-1059 fueron descritas como fallas de scripts entre sitios (XSS) en la consola de administración de flotas. Estas fallas existen debido a que el software no neutraliza la entrada controlable por el usuario antes de colocarla en la salida, a través de la consola de administración, permitiendo a los hackers maliciosos secuestrar sesiones de usuario con altos privilegios o inyectar código malicioso en el navegador del usuario a través de la consola.
El fabricante fue notificado de inmediato y se lanzaron las actualizaciones poco después, por lo que el riesgo de seguridad ya debería haber sido mitigado. Hasta el momento no hay evidencia de explotación activa.
