与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门思明区珍珠湾软件园一期创新大厦B区7楼

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

验证码

医疗实践管理软件OpenEMR曝22个漏洞,1亿患者资料面临泄露风险

发布时间:2018-08-16 来源: 浏览次数:7282次

一组研究人员公开披露了存在于OpenEMR软件中的22个安全漏洞。OpenEMR是一个被广泛使用的医疗实践管理软件,支持电子病历。在此次被披露的漏洞中,包括了一个门户身份验证绕过漏洞,允许攻击者访问任何患者的记录。

这个称自己为Project Insecurity的研究小组指出,他们从GitHub上下载了OpenEMR 5.0.1.3版本,并在不使用自动化测试工具的情况下对其源代码进行了手动分析。虽然没有任何一个漏洞能够被评定为危急级别(Critical),但在22个漏洞中有17个的严重程度被认为是较高的。


在接受媒体采访时,Project Insecurity的首席执行官Matt Telfer 解释了为什么这个门户身份验证绕过漏洞可能是其中最重要的发现。他说:“一些信息可能会因为这个漏洞而遭到窃取,这包括患者的人口统计,所有的电子病历、处方和医疗账单信息,预约时间表等。OpenEMR累计存储有近1亿患者的记录,其中有超过1000万份的记录在美国境内。”

根据这份报告的描述,成功利用这个漏洞允许攻击者访问通常需要登录验证的门户页面。值得注意的是,利用漏洞的方法并不复杂,只需要导航到注册页面并修改所请求的URL,就可以访问很多页面,这包括支付页面、患者个人资料页面以及实验室结果页面。事实上,在能够成功访问个人资料页面之后,研究人员能够提取任意患者的个人资料。

更糟糕的是,Project insecure发现攻击者完全可以将这个门户身份验证绕过漏洞与在OpenEMRPHP代码片段中发现的八个SQL注入漏洞结合起来使用,以访问目标数据库中数据、破坏患者记录,并在无需授权的情况下执行各种数据库操作。

此外,Project Insecurity还发现了四个远程代码执行(RCE)漏洞,这些漏洞可能允许攻击者发出系统命令或升级他们的权限。


Project Insecurity还指出,OpenEMR还受到多个高严重程度的跨站点请求伪造(CSRF)漏洞的影响,其中最严重的漏洞可能允许攻击者上传Web shell并升级到远程代码执行,但需要事先诱骗管理员点击恶意链接。

另有三个影响较大的漏洞是值得关注的,第一个是一个任意文件写入漏洞,它允许经过身份验证的攻击者使用精心设计的请求上传任意文件;第二个是一个任意文件读取漏洞,它允许攻击者在Web目录之外查看站点上的文件;第三个是一个任意文件删除漏洞。

最后,OpenEMR还被发现受到三个未经身份验证的信息泄露漏洞(低风险)、一个受限制的文件上传漏洞(中等风险),以及多个未经身份验证的管理操作漏洞的影响(低风险),只需要知道相对URL路径就可实现对漏洞的利用。

Matt TelferBrian HydeCody ZachariasCorben LeoDaley BeeDominik PennerManny Mand组成的Project Insecurity研究小组这份在长达28页的漏洞分析报告中指出,OpenEMR的开发人员已经在720日发布了一系列补丁,对这些漏洞进行了修复。

推荐新闻

加密软件除了加密还能做什么?

2020-05-12

加密软件是办公中常用的一种软件,大家对文件加密也有一定的熟知度,文件除了针对电脑文件防外泄,在日常生活中,我们对文...

新型勒索病毒BadRabbit突袭东欧 360安全卫士支招防御

2017-10-27

据外媒报道,近日一款新型勒索病毒BadRabbit在东欧爆发,乌克兰、俄罗斯的企业及基础设施受灾严重。与此前席卷欧...

如何选择加密软件?

2020-09-01

虽然市面上的文件加密软件‍众多,但其功能也越来越同质化,对于该如何选择一款合适的文件加密软件‍也就成为令企业头疼的...

调查显示:“天堂文件”泄露于外部黑客入侵

2017-11-09

大多数的天堂文件都来源于离岸法律公司Appleby,最近Appleby确认这些泄露文件来源于针对...

最近的T-Mobile数据泄露事件可能比最初声称的严重得多

2020-03-09

在T-Mobile确认超过100万名预付费客户由于“快速更正”的安全“事件”而泄露了其个人数据后不到四个月,似乎不...



Copyright ©2006-2020 厦门天锐科技股份有限公司

在线
客服

在线客服服务时间:24小时

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

返回
顶部