在共享资源的电子病例OpenClinic应用程序中看到了四个漏洞。在其中大家最关心的是,一个容许远程控制的没经验证的攻击者从应用程序中载入患者的个人健康信息(PHI)的漏洞。
Bishop Fox的分析工作员表明,OpenClinic是一款开源系统的身心健康纪录管理系统软件;它的正式版是2016年公布的0.8.2版,因此漏洞依然沒有被修复。该团队沒有马上回应Threatpost的评价。
据科研工作人员的说,这四个漏洞涉及到身份认证缺少;不安全的上传文件;跨站脚本攻击(XSS);及其途径解析xml。最明显的漏洞(CVE-2020-28937)是因为缺乏对诊疗检测信息要求的验证的查验。
根据验证的医务人员可以为患者提交医药学检验文档,随后将其储存在'/tests/'文件目录中。缺憾的是,系统软件沒有规定患者登陆就能查询检测結果。
该企业在周二的贴子中写到,
- 一切有着合理的诊疗检验文档详细途径的人都能够浏览这种信息,这也许会造成储存在应用程序中的一切诊疗统计的PHI遗失。
一个喜讯是,攻击者必须了解或猜想储存在"/tests/"文件目录中的文件夹名称,才可以运用该漏洞。
科学研究工作人员写到:
- 但是,医药学检测文件夹名称是可以揣测的,合理的文件夹名称还可以根据云服务器或别的互联网基础设施建设上的日志文档得到。
诊疗纪录是地底网络诈骗的受欢迎产品——玩命的想盗取真实身份或开展钓鱼攻击的犯罪分子可以运用储存的本人信息开展让人信以为真的违法犯罪。
Bishop Fox发觉的另一个漏洞容许通过认证的攻击者在运用服务器上进行远程控制执行命令实际操作。这一凶险的上传文件漏洞(CVE-2020-28939)容许管理人员和管理员人物角色的客户提交故意文档,如PHP Web shell,进而造成网站服务器上的随意执行命令漏洞。
据Bishop Fox详细介绍,
- 具备为患者键入医药学检测管理权限的系统管理员客户可以应用'/openclinic/medical/test_new.php文件' 将文件传送到应用程序中。这一作用沒有限定可以上传入应用程序的文件属性。因而,客户可以提交一个包括简易的PHP web shell的文档
应用程序的故意客户可以借助这一漏洞得到比较敏感信息的浏览权,更新管理权限,在应用程序服务器上安装木马程序,或是运用网络服务器做为起点、跳板得到对内部结构互联网的浏览权。
第三个漏洞是一个中等水平明显的程度的储存型XSS漏洞(CVE-2020-28938),容许没经验证的攻击者置入一个有效载荷,假如被管理人员客户点一下,攻击者的帐户可能提高管理权限。
依据Bishop Fox的观点,
- 尽管应用程序编码中包括了避免XSS进攻的对策,但发觉这种对策可以被绕开。客户被容许键入的HTML标识被限定在/lib/Check.php中规定的一个授权管理中。
Bishop Fox称,这代表在实际的进攻情景中,攻击者可以向受害人推送一个故意连接--当点一下该连接时,将容许她们以另一个客户的真实身份来实现进攻。
科学研究工作人员表述说,
- 为了更好地认证漏洞的危害,在患者的诊疗纪录中置入一个XSS有效载荷,这时具备较低权利的消费者人物角色,当管理人员点一下时,这一有效载荷在攻击者的操纵下建立了一个新的超级管理员,进而容许攻击者更新管理权限。
最后一个漏洞是一个低危害水平的途径解析xml问题(沒有分派CVE),可以容许根据身份认证的攻击者将文件传送在应用程序网络服务器的特定文件目录以外。
依据科学研究员工的观点,
管理人员客户可以根据'/admin/theme_new.php'文档向应用程序提交新的主题风格,这会致使在安裝OpenClinic的文件目录下的css文件夹下建立新文档。与此同时可以从css文件夹中导出,将文件传送在系统文件的其它地区。
Bishop Fox在8月底初次发觉了这种bug,并多次试着根据电子邮件联络OpenClinic开发设计精英团队,但也没有获得回复。
科学研究工作人员说,
- 现阶段一切新版本的OpenClinic都存有已发觉的漏洞,提议改成别的诊疗纪录管理系统软件。
文中翻譯自:https://threatpost.com/electronic-medical-records-openclinic-bugs/161722/倘若转截,请标明全文详细地址。