与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门市集美软件园三期 C08栋 19F

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

医疗实践管理软件OpenEMR曝22个漏洞,1亿患者资料面临泄露风险

发布时间:2018-08-16 来源: 浏览次数:8320次

一组研究人员公开披露了存在于OpenEMR软件中的22个安全漏洞。OpenEMR是一个被广泛使用的医疗实践管理软件,支持电子病历。在此次被披露的漏洞中,包括了一个门户身份验证绕过漏洞,允许攻击者访问任何患者的记录。

这个称自己为Project Insecurity的研究小组指出,他们从GitHub上下载了OpenEMR 5.0.1.3版本,并在不使用自动化测试工具的情况下对其源代码进行了手动分析。虽然没有任何一个漏洞能够被评定为危急级别(Critical),但在22个漏洞中有17个的严重程度被认为是较高的。


在接受媒体采访时,Project Insecurity的首席执行官Matt Telfer 解释了为什么这个门户身份验证绕过漏洞可能是其中最重要的发现。他说:“一些信息可能会因为这个漏洞而遭到窃取,这包括患者的人口统计,所有的电子病历、处方和医疗账单信息,预约时间表等。OpenEMR累计存储有近1亿患者的记录,其中有超过1000万份的记录在美国境内。”

根据这份报告的描述,成功利用这个漏洞允许攻击者访问通常需要登录验证的门户页面。值得注意的是,利用漏洞的方法并不复杂,只需要导航到注册页面并修改所请求的URL,就可以访问很多页面,这包括支付页面、患者个人资料页面以及实验室结果页面。事实上,在能够成功访问个人资料页面之后,研究人员能够提取任意患者的个人资料。

更糟糕的是,Project insecure发现攻击者完全可以将这个门户身份验证绕过漏洞与在OpenEMRPHP代码片段中发现的八个SQL注入漏洞结合起来使用,以访问目标数据库中数据、破坏患者记录,并在无需授权的情况下执行各种数据库操作。

此外,Project Insecurity还发现了四个远程代码执行(RCE)漏洞,这些漏洞可能允许攻击者发出系统命令或升级他们的权限。


Project Insecurity还指出,OpenEMR还受到多个高严重程度的跨站点请求伪造(CSRF)漏洞的影响,其中最严重的漏洞可能允许攻击者上传Web shell并升级到远程代码执行,但需要事先诱骗管理员点击恶意链接。

另有三个影响较大的漏洞是值得关注的,第一个是一个任意文件写入漏洞,它允许经过身份验证的攻击者使用精心设计的请求上传任意文件;第二个是一个任意文件读取漏洞,它允许攻击者在Web目录之外查看站点上的文件;第三个是一个任意文件删除漏洞。

最后,OpenEMR还被发现受到三个未经身份验证的信息泄露漏洞(低风险)、一个受限制的文件上传漏洞(中等风险),以及多个未经身份验证的管理操作漏洞的影响(低风险),只需要知道相对URL路径就可实现对漏洞的利用。

Matt TelferBrian HydeCody ZachariasCorben LeoDaley BeeDominik PennerManny Mand组成的Project Insecurity研究小组这份在长达28页的漏洞分析报告中指出,OpenEMR的开发人员已经在720日发布了一系列补丁,对这些漏洞进行了修复。

推荐新闻

国内某论坛遭黑客用作C&C服务器 利用Struts 2漏洞开展挖矿活动

2018-06-28

F5实验室的威胁研究人员发现了一起针对Apache Struts 2服务器的新活动,使用了Apa...

FBI 网站被入侵,数据被公开后遭黑客嘲讽

2017-01-10

近日,FBI 遭遇黑客打脸,不仅网站被黑,网站数据被直接公布在网上,而且入侵者还通过社交网络公开表达了自己略带嘲讽...

芬兰心理治疗公司Vastaamo遭黑客攻击 数百人健康数据遭泄露

2020-10-30

据外媒报道,近日芬兰有一家心理治疗公司Vastaamo遭受黑客攻击,黑客在检测Vastaamo公司系统中的漏...

数据安全的防护与治理

2021-03-25

如果说“算法”是数字社会治理和数字化商业转型的核心引擎,那么“数据”就是驱动这台引擎的燃料。而数据安全,也是数字风...

石家庄政府官网大面积泄露执法人员隐私信息,官方已通知删除

2017-11-29

连日来,澎湃新闻(www.thepaper.cn)报道了全国各地多起政府及高校官网泄露公民个人隐私信息的案例,部分...

Copyright ©2006-2021 厦门天锐科技股份有限公司

在线
客服

在线客服服务时间:24小时

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

返回
顶部