在共享的电子病历OpenClinic应用程序中发现了四个漏洞。其中人们最关注的是,一个允许远程的未经认证的攻击者从应用程序中读取患者的个人健康信息(PHI)的漏洞。
Bishop Fox的研究人员表示,OpenClinic是一款开源的健康记录管理软件;它的最新版本是2016年发布的0.8.2版,所以漏洞仍然没有被修补。该项目组没有立即回复Threatpost的评论。
据研究人员的说,这四个漏洞涉及身份验证缺失;不安全的文件上传;跨站脚本攻击(XSS);以及路径遍历。最严重的漏洞(CVE-2020-28937)是由于缺少对医疗测试信息请求的认证的检查。
通过认证的医护人员可以为患者上传医学检测文件,然后将其存储在'/tests/'目录中。遗憾的是,系统没有要求患者登录就能查看检验结果。
该公司在周二的帖子中写道,
- 任何拥有有效的医疗检测文件完整路径的人都可以访问这些信息,这可能会导致存储在应用程序中的任何医疗记录的PHI丢失。
一个好消息是,攻击者需要知道或猜测存储在"/tests/"目录中的文件名,才能利用该漏洞。
研究人员写道:
- 不过,医学测试文件名是可以猜测的,有效的文件名也可以通过服务器或其他网络基础设施上的日志文件获得。
医疗记录是地下网络犯罪的热门商品——疯狂的想盗用身份或进行网络钓鱼的诈骗者可以利用存储的个人信息进行使人信以为真的犯罪。
Bishop Fox发现的另一个漏洞允许经过验证的攻击者在应用服务器上进行远程代码执行操作。这个危险的文件上传漏洞(CVE-2020-28939)允许管理员和管理员角色的用户上传恶意文件,如PHP Web shell,从而导致应用服务器上的任意代码执行漏洞。
据Bishop Fox介绍,
- 具有为患者输入医学测试权限的管理员用户能够使用'/openclinic/medical/test_new.php文件' 将文件上传到应用程序中。这个功能没有限制可以上传到应用程序的文件类型。因此,用户可以上传一个包含简单的PHP web shell的文件
应用程序的恶意用户可以利用这个漏洞获得敏感信息的访问权,升级权限,在应用程序服务器上安装恶意程序,或者利用服务器作为跳板获得对内部网络的访问权。
第三个漏洞是一个中等严重程度的存储型XSS漏洞(CVE-2020-28938),允许未经认证的攻击者嵌入一个有效载荷,如果被管理员用户点击,攻击者的账户将会提升权限。
根据Bishop Fox的说法,
- 虽然应用程序代码中包含了防止XSS攻击的措施,但发现这些措施可以被绕过。用户被允许输入的HTML标签被限制在/lib/Check.php中指定的一个白名单中。
Bishop Fox称,这意味着在真实的攻击场景中,攻击者可以向受害者发送一个恶意链接--当点击该链接时,将允许他们以另一个用户的身份来进行攻击。
研究人员解释说,
- 为了验证漏洞的影响,在患者的医疗记录中嵌入一个XSS有效载荷,此时具有较低特权的用户角色,当管理员点击时,这个有效载荷在攻击者的控制下创建了一个新的管理员账户,从而允许攻击者升级权限。
最后一个漏洞是一个低影响程度的路径遍历问题(没有分配CVE),可以允许通过身份验证的攻击者将文件存储在应用程序服务器的指定目录之外。
根据研究人员的说法,
管理员用户可以通过'/admin/theme_new.php'文件向应用程序上传新的主题,这会导致在安装OpenClinic的目录下的css文件夹下创建新文件。同时可以从css文件夹中导出来,将文件存储在文件系统的其他地方。
Bishop Fox在8月底首次发现了这些bug,并多次尝试通过邮件联系OpenClinic开发团队,但都没有得到回应。
研究人员说,
- 目前任何版本的OpenClinic都存在已发现的漏洞,建议改用其他医疗记录管理软件。
本文翻译自:https://threatpost.com/electronic-medical-records-openclinic-bugs/161722/如若转载,请注明原文地址。