Уязвимости OpenEMR

Уязвимости OpenEMR
География инсталляций OpenEMR

Бумажные медицинские карты и «медицинские книжки» уже давно не используются в мед. учреждениях. На смену бумажным носителям пришли электронные медицинские карты, содержащие всю историю обращений, описания всех болезней и процедур лечения пациента. Организации в сфере здравоохранения используют специальное программное обеспечение для управления медицинскими процедурами и хранения данных о пациентах.

Одним из таких приложений является OpenEMR – открытая платформа для ведения медицинской практики. Данное программное обеспечение является бесплатным (любая организация может совершенно бесплатно использовать этот продукт для своего бизнеса) и открытым (исходный код данного продукта доступен любому разработчику). Кроме того, это программное обеспечение имеет сертификат ONC Complete Ambulatory EHR, который выдает авторитетная организация в сфере здравоохранения. Именно все эти особенности обеспечили ее популярность данной платформы среди различных медицинских учреждений по всему миру. Достаточно взглянуть на карту, чтобы оценить распространенность этого «лакомого кусочка» для преступников, охотящихся за медицинской информацией. 

Stored XSS в OpenEMR

Так вот к чему это все? В результате беглого анализа безопасности OpenEMR, выяснилось, что вполне реален следующий сценарий: 

  • Шаг 1: злоумышленник внедряет вредоносный код на этапе регистрации на данном портале в качестве пациента. 
  • Шаг 2: данный код попадает на главную страницу портала, и пользователь, который просматривает эту страницу, расстается со своими учетными данными (и как следствие, медицинскими данными). 
  • Шаг 3: таким образом злоумышленник собирает медицинскую информацию всех пользователей данного портала, среди которых есть и врачи. 
  • Шаг 4: учетные данные врачей и администраторов, позволяют злодею добраться до всех пациентов. 

В результате: мы смотрим очередную новость про «громкую утечку медицинских данных, в результате которой пострадали 100500 пользователей».

(Все обнаруженные уязвимости уже переданы разработчикам для исправления)

The post Уязвимости OpenEMR appeared first on Denis Makrushin .

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

«БеКон‑2025» единственная в России специализированная конференция по безопасности контейнеров

Эксперты топовых компаний разберут практические решения для защиты контейнерных сред. Если вы в DevOps/DevSecOps — вам просто необходимо быть на «БеКоне».

Успейте купить билет

Реклама.18+. ООО «КлаудРан», ИНН 7804685734


article-title

Денис Макрушин

Inspired by Insecure