22 Января, 2019

Уязвимости OpenEMR

Денис Макрушин
География инсталляций OpenEMR

Бумажные медицинские карты и «медицинские книжки» уже давно не используются в мед. учреждениях. На смену бумажным носителям пришли электронные медицинские карты, содержащие всю историю обращений, описания всех болезней и процедур лечения пациента. Организации в сфере здравоохранения используют специальное программное обеспечение для управления медицинскими процедурами и хранения данных о пациентах.

Одним из таких приложений является OpenEMR – открытая платформа для ведения медицинской практики. Данное программное обеспечение является бесплатным (любая организация может совершенно бесплатно использовать этот продукт для своего бизнеса) и открытым (исходный код данного продукта доступен любому разработчику). Кроме того, это программное обеспечение имеет сертификат ONC Complete Ambulatory EHR, который выдает авторитетная организация в сфере здравоохранения. Именно все эти особенности обеспечили ее популярность данной платформы среди различных медицинских учреждений по всему миру. Достаточно взглянуть на карту, чтобы оценить распространенность этого «лакомого кусочка» для преступников, охотящихся за медицинской информацией. 

Stored XSS в OpenEMR

Так вот к чему это все? В результате беглого анализа безопасности OpenEMR, выяснилось, что вполне реален следующий сценарий: 

  • Шаг 1: злоумышленник внедряет вредоносный код на этапе регистрации на данном портале в качестве пациента. 
  • Шаг 2: данный код попадает на главную страницу портала, и пользователь, который просматривает эту страницу, расстается со своими учетными данными (и как следствие, медицинскими данными). 
  • Шаг 3: таким образом злоумышленник собирает медицинскую информацию всех пользователей данного портала, среди которых есть и врачи. 
  • Шаг 4: учетные данные врачей и администраторов, позволяют злодею добраться до всех пациентов. 

В результате: мы смотрим очередную новость про «громкую утечку медицинских данных, в результате которой пострадали 100500 пользователей».

(Все обнаруженные уязвимости уже переданы разработчикам для исправления)

The post Уязвимости OpenEMR appeared first on Denis Makrushin .