Aethon TUG机器人中现已修补的JekyllBot:5漏洞暴露了三个通信接口,两个API和一个websocket接口(风险)。
很多组织正在采用物联网解决方案来自动化其设施和医院中重复和耗时的任务。虽然机器人和其他设备可以释放宝贵人力资源并提高效率,但它们也可能带来组织以前从未处理过的风险。
今天,Aethon TUG披露了五个严重漏洞,这是一系列智能机器人,旨在跨设施运输食物,药物,实验室标本和其他用品。TUG已经部署在世界各地的医院中,它使用传感器和摄像头在走廊上导航,并可以通过Wi-Fi与电梯和自动门进行交互。
JekyllBot:5 漏洞
这些漏洞是由医疗保健物联网安全公司Cynerio的研究人员在客户医院的一次活动中发现的。通过分析电梯网络流量中的一些异常情况,包括布局图(行动路线)和来自机器人的视频馈送(收集)他们找到了一个门户,该门户用于监视和管理部署在医院内的TUG机器人。对被称为TUG Home Base服务器的管理门户的分析揭示了五个单独的安全问题和攻击媒介。研究人员称它们为JekyllBot:5。
服务器公开三个通信接口,一个在端口 8081 上运行的基于 Web 的 API (v3),一个用于向端口 8080 上的机器人发送命令的 websocket 接口,以及在标准 HTTP 端口 80 上运行的 Web