Cooperate with us < I >

Focusing on product research and development in the field of information security, we are committed to providing professional information security products, solutions, technical advisory services for government, military and other secret-related units, as well as other enterprises and institutions.

Do you want to talk to us about the field of information security and file encryption?

You can fill in the form on the right to let us know your project requirements and we will contact you as soon as possible. Of course, you are also welcome to call us at 400.

You can also contact us through the following channels:

Address: 7th Floor, Zone B, Innovation Building, Phase I Pearl Bay Software Park, Siming District, Xiamen

Tel: 400-666-0170/0592-2565820

Official website: www.tipray.com

Customer service: sales@tipray.com

Market cooperation: market@tipray.com

Quickly submit your requirements ↓

医疗实践管理软件OpenEMR曝22个漏洞,1亿患者资料面临泄露风险

Release time:2018-08-16 source: Browse times:1560

一组研究人员公开披露了存在于OpenEMR软件中的22个安全漏洞。OpenEMR是一个被广泛使用的医疗实践管理软件,支持电子病历。在此次被披露的漏洞中,包括了一个门户身份验证绕过漏洞,允许攻击者访问任何患者的记录。

这个称自己为Project Insecurity的研究小组指出,他们从GitHub上下载了OpenEMR 5.0.1.3版本,并在不使用自动化测试工具的情况下对其源代码进行了手动分析。虽然没有任何一个漏洞能够被评定为危急级别(Critical),但在22个漏洞中有17个的严重程度被认为是较高的。


在接受媒体采访时,Project Insecurity的首席执行官Matt Telfer 解释了为什么这个门户身份验证绕过漏洞可能是其中最重要的发现。他说:“一些信息可能会因为这个漏洞而遭到窃取,这包括患者的人口统计,所有的电子病历、处方和医疗账单信息,预约时间表等。OpenEMR累计存储有近1亿患者的记录,其中有超过1000万份的记录在美国境内。”

根据这份报告的描述,成功利用这个漏洞允许攻击者访问通常需要登录验证的门户页面。值得注意的是,利用漏洞的方法并不复杂,只需要导航到注册页面并修改所请求的URL,就可以访问很多页面,这包括支付页面、患者个人资料页面以及实验室结果页面。事实上,在能够成功访问个人资料页面之后,研究人员能够提取任意患者的个人资料。

更糟糕的是,Project insecure发现攻击者完全可以将这个门户身份验证绕过漏洞与在OpenEMRPHP代码片段中发现的八个SQL注入漏洞结合起来使用,以访问目标数据库中数据、破坏患者记录,并在无需授权的情况下执行各种数据库操作。

此外,Project Insecurity还发现了四个远程代码执行(RCE)漏洞,这些漏洞可能允许攻击者发出系统命令或升级他们的权限。


Project Insecurity还指出,OpenEMR还受到多个高严重程度的跨站点请求伪造(CSRF)漏洞的影响,其中最严重的漏洞可能允许攻击者上传Web shell并升级到远程代码执行,但需要事先诱骗管理员点击恶意链接。

另有三个影响较大的漏洞是值得关注的,第一个是一个任意文件写入漏洞,它允许经过身份验证的攻击者使用精心设计的请求上传任意文件;第二个是一个任意文件读取漏洞,它允许攻击者在Web目录之外查看站点上的文件;第三个是一个任意文件删除漏洞。

最后,OpenEMR还被发现受到三个未经身份验证的信息泄露漏洞(低风险)、一个受限制的文件上传漏洞(中等风险),以及多个未经身份验证的管理操作漏洞的影响(低风险),只需要知道相对URL路径就可实现对漏洞的利用。

Matt TelferBrian HydeCody ZachariasCorben LeoDaley BeeDominik PennerManny Mand组成的Project Insecurity研究小组这份在长达28页的漏洞分析报告中指出,OpenEMR的开发人员已经在720日发布了一系列补丁,对这些漏洞进行了修复。

Recommended news

三千万公民信息在网上泄露,这是南非史上最大的数据泄露事件

2017-10-20

南非共 3 千万公民ID号及其他个人信息财务信息在网上泄露,这是南非史上最大的数据泄露事件。 这次的数...

信息泄露对企业的危害:是否已经中招

2018-04-26

互联网给企业带来了巨大的改变,但也面临着更多的网络安全问题。与单个用户比较,公司存在高质量的数据,机密资料。而大多...

数据不安全备份,贴心的黑客教你怎么交赎金

2018-02-11

说起勒索病毒,大家可能常见的是以下这样的: 但又是英文,又是比特币的,即使是想交...

喜茶配方遭内部泄密,是真是假能喝吗?官方回应来了!

2018-08-13

如果你每天在家就能做颜值超高的网红茶,省下20块钱,是不是很爽?现在机会来了! 近年来喜茶的火爆,给茶...

云通讯公司Twilio曝“窃听者”漏洞数亿通话、短信数据或泄露

2017-12-29

移动应用安全公司Appthority发现一个数据泄露漏洞“窃听者”(Eavesdropper),影响了近700个企...



Copyright ©2006-2019 厦门天锐科技股份有限公司

在线
客服

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

Back to top