Podatności w oprogramowaniach przychodni medycznych

cert.pl 6 miesięcy temu

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniach aplikacji medycznych stosowanych przez przychodnie i koordynował proces ujawniania informacji.

Eurosoft Przychodnia

Podatność CVE-2024-1228 polega na stosowaniu zakodowanego na stałe, tego samego we wszystkich instalacjach, hasła do bazy danych. Podatność dotyczy systemu Eurosoft Przychodnia do wersji 20240417.001, która zawiera poprawkę bezpieczeństwa.

drEryk Gabinet

Podatność CVE-2024-3699 polega na stosowaniu zakodowanego na stałe, tego samego we wszystkich instalacjach, hasła do bazy danych. Podatność dotyczy systemu drEryk Gabinet od wersji 7.0.0.0 do 9.17.0.0. Wersja 9.18.0.0 zawiera poprawkę bezpieczeństwa.

SimpleCare

Podatność CVE-2024-3700 polega na stosowaniu zakodowanego na stałe, tego samego we wszystkich instalacjach, hasła do bazy danych. Podatność dotyczy systemu Simple Care firmy Estomed Sp. z o.o. we wszystkich wersjach. Oprogramowanie nie jest dalej wspierane.

Inne programy

Podczas koordynowanego ujawniania podatności kontaktowaliśmy się także z producentami innych programów stosowanych w przychodniach medycznych. W przypadku programów mMedica firmy Asseco oraz Kamsoft KS-AOW, Kamsoft KS-PPS podobne podatności zostały wykryte wewnętrznie i usunięte we wcześniejszych latach, w związku z czym odstąpiliśmy od nadania identyfikatorów CVE.

Zalecenia dot. konfiguracji systemu przetwarzającego dane wrażliwe

Przeprowadzona analiza wykazała, iż częstą praktyką stosowaną przez administratorów placówek medycznych jest udostępnianie moźliwości połączenia z bazą danych medycznych z publicznej sieci Internet. Umożliwia to atakującym przeprowadzenie ataków siłowych (brute-force) na poświadczenia lub wykorzystanie podatności tego typu (CWE-798 Use of Hard-coded Credentials) do pozyskania wrażliwych danych przechowywanych w bazie.

Dostęp do baz danych przechowujących dane szczególnie chronione powinien być możliwy do uzyskania jedynie poprzez połączenie lokalne lub sieć prywatną (VPN) z uwierzytelnieniem wieloskładnikowym.

Zespół CERT Polska rekomenduje producentom systemu wdrożenie mechanizmów wymuszających ustawienie przez użytkownika złożonego hasła do bazy danych podczas pierwszej konfiguracji środowiska oraz możliwość jego zmiany w przyszłości w razie potrzeby. Więcej informacji na temat haseł oraz rekomendacje techniczne dla systemów uwierzytelniania znajdują się na stronie cert.pl/hasla.

Idź do oryginalnego materiału