Nul
De medische gegevens van miljoenen patiënten over de hele wereld werden mogelijk open gelaten voor een aanval door een keur van kritieke kwetsbaarheden ontdekt door een enkele cybersecurity team.
OpenEMR is een populair open-source software-oplossing voor het beheer van miljoenen elektronische dossiers van patiënten wereldwijd. Echter, de software, tot voor kort bevatte ook meer dan 20 ernstige security problemen.
Ontdekt door Project Onveiligheid en toegelicht in een security advisory (.PDF), het team zei de bugs bevat meerdere exemplaren van SQL-injectie gebreken, meerdere security problemen die kunnen leiden tot uitvoering van externe code, en kwetsbaarheden leidt tot niet-geverifieerde de openbaarmaking van informatie.
Bovendien dreigingen zou afbreuk doen aan de management-systeem door de onbeperkte bestand uploaden fouten, CSRFs waaronder een CSRF te RCE proof-of-concept fout, en de processen die toegestaan niet-geverifieerde administratieve handelingen.
Het team zet een test lab op een Debian-LAMP server na het downloaden van de nieuwste versie van OpenEMR van GitHub.
De veiligheidsproblemen gevonden vereist geen geautomatiseerd scannen of source code analyse tools; integendeel, ze werden ontdekt door simpelweg het handmatig controleren van de broncode en het wijzigen van verzoeken met Burp Suite.
Zie ook: IBM oproepen gezondheidszorg een ‘lekkende schip in een stormachtige zee’
Als een aanvaller gebruikt de kwetsbaarheden in aanvallen tegen OpenEMR, aanvallers toegang tot de patiëntendossiers zonder verificatie of toestemming, in gevaar brengen van de records in de database, een afspraak maken zonder toestemming toegang krijgen tot gevoelige gegevens van het systeem, rechten escalatie, uploaden van bestanden en het uitvoeren van de systeem-commando ‘ s.
Het team reikte aan de verkoper op 9 juli. Na een akkoord over een vier-week openbaarmaking release datum, OpenEMR te werken aan het oplossen van alle kwetsbaarheden ontdekt.
CNET: Amazon maakt de kosten van de gezondheidszorg de volgende wereld te veroveren
Een update van het oplossen van de bugs werd uitgebracht op 7 augustus in OpenEMR versie 5.0.1.4.
OpenEMR zei dat het “dankbaar” voor een verantwoorde openbaarmaking en maakte het oplossen van de kwetsbaarheid van een top prioriteit is als één van de gerapporteerde kwetsbaarheden heeft geen verificatie vereist.”
Talloze enterprise bedrijven en organisaties vertrouwen op open-source software en componenten, en soms, bugs zal door de mazen van het net als de vele open-source projecten rekenen op vrijwilligers plaats van gestructureerde DevOps teams.
TechRepublic: AI, dat verbetert de efficiëntie in de gezondheidszorg dreigt ook de winst
Dit is niet de eerste keer OpenEMR is een hand gegeven en veiligheid. In 2017, onderzoekers van de Risico-Gebaseerde Beveiliging onthulde het bestaan van het setup-script in de software, die kan leiden tot de volledige compromis als geëxploiteerd.
Elektronische gegevens kunnen worden van een meer geschikte en efficiënte alternatief voor pen-en-papier, maar we hebben al gezien wat lakse beveiliging kan veroorzaken als het gaat om onze medische gegevens.
In juli, SingHealth, Singapore de grootste groep van medische instellingen en organisaties, leed aan een inbreuk op gegevens die leiden tot het compromis van 1,5 miljoen gezondheidszorg patiënten, met inbegrip van Minister-president Lee Hsien Loong.
Patiënt namen, nationale id-nummers, adressen, geslacht en data van geboorte waren onder de gestolen gegevens.
Vorige en aanverwante dekking
Deskundigen denken na over de toestand van het medische apparaat veiligheid nu en dan de Meeste AMERIKAANSE bedrijven zou betalen om te voorkomen dat inbreuk op gegevens schaamte gaat openbaar Ziekenhuis hacks: Standaard wachtwoorden en geen patchen bladeren van de gezondheidszorg in gevaar
Verwante Onderwerpen:
Gezondheid
Beveiliging TV
Data Management
CXO
Datacenters
0