2 ноября 2020

Критические уязвимости OpenEMR дают хакерам возможность удаленного доступа

Ряд уязвимостей, обнаруженных ИБ-исследователями в OpenEMR, могут быть использованы хакерами для получения медицинских записей и компрометации инфраструктуры медицинской организации.

Фото: pixabay.com

OpenEMR – это программное обеспечение для управления медицинской организаций с открытым исходным кодом. Данная программа ввиду своей открытости бесплатна, в связи с чем очень популярна и предоставляет широкий спектр функций для управления медицинскими данными и управлением лечением пациентов.

Исследователи из швейцарского компании, специализирующейся на информационной безопасности SonarSource, обнаружили в этом году, что OpenEMR подвержен четырем типам уязвимостей, которые влияют на серверы, использующие компоненты OpenEMR .

Список уязвимостей включает внедрение команд воспроизведения кода, постоянные межсайтовые сценарии (XSS), небезопасные разрешения API и внедрение SQL-инъекций.

Портал пациентов позволяет медицинским организациям разрешать своим пациентам выполнять различные задачи в режиме онлайн, такие как: общение с врачами, заполнение новых регистрационных форм пациентов, запись на приём, оплата услуг медицинского учреждения или же подачу запроса на продление рецепта.

В SonarSource обнаружили, что если портал пациента включен и доступен из интернета, злоумышленник может получить полный контроль над сервером OpenEMR, связав найденные уязвимости в последовательную цепочку. Портал пациента имеет свой собственный интерфейс API, который может быть использован для управления всеми действиями портала. Использование этого API требует аутентификации, однако исследователи нашли способ его обойти. Что по сути позволяет злоумышленникам получать доступ и вносить изменения в данные пациентов, изменять информацию о них, а также внутренних пользователях и администраторах системы.

Злоумышленник, способный изменить данные учётной записи администратора, может использовать уязвимость XSS для внедрения вредоносного кода, который будет выполняться при входе целевого администратора в свою учётную запись. Вредоносный JavaScript, воспроизводимый посредством уязвимости XSS, может затем использоваться для SQL-инъекции. Возможность выполнения произвольных команд даёт возможность хакерам получить полный контроль над OpenEMR, похитить и/или удалить данные пациентов, либо видоизменить план лечения, что может крайне негативно повлиять не только на медицинскую организацию, но и на человеческие жизни.

Использование XSS и командной инъекции требует прав администратора, однако баг в виде возможности SQL-инъекции может быть использован с правами рядового пользователя.

SonarSource выявил уязвимость в OpenEMR 5.0.2.1. Компания исправила ее с версией 5.0.2.2 в августе текущего года.

кибератака,

уязвимость