Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniach aplikacji medycznych stosowanych przez przychodnie i koordynował proces ujawniania informacji.
Eurosoft Przychodnia
Podatność CVE-2024-1228 polega na stosowaniu zakodowanego na stałe, tego samego we wszystkich instalacjach, hasła do bazy danych. Podatność dotyczy systemu Eurosoft Przychodnia do wersji 20240417.001, która zawiera poprawkę bezpieczeństwa.
drEryk Gabinet
Podatność CVE-2024-3699 polega na stosowaniu zakodowanego na stałe, tego samego we wszystkich instalacjach, hasła do bazy danych. Podatność dotyczy systemu drEryk Gabinet od wersji 7.0.0.0 do 9.17.0.0. Wersja 9.18.0.0 zawiera poprawkę bezpieczeństwa.
SimpleCare
Podatność CVE-2024-3700 polega na stosowaniu zakodowanego na stałe, tego samego we wszystkich instalacjach, hasła do bazy danych. Podatność dotyczy systemu Simple Care firmy Estomed Sp. z o.o. we wszystkich wersjach. Oprogramowanie nie jest dalej wspierane.
Inne programy
Podczas koordynowanego ujawniania podatności kontaktowaliśmy się także z producentami innych programów stosowanych w przychodniach medycznych. W przypadku programów mMedica firmy Asseco oraz Kamsoft KS-AOW, Kamsoft KS-PPS podobne podatności zostały wykryte wewnętrznie i usunięte we wcześniejszych latach, w związku z czym odstąpiliśmy od nadania identyfikatorów CVE.
Zalecenia dot. konfiguracji systemu przetwarzającego dane wrażliwe
Przeprowadzona analiza wykazała, iż częstą praktyką stosowaną przez administratorów placówek medycznych jest udostępnianie moźliwości połączenia z bazą danych medycznych z publicznej sieci Internet. Umożliwia to atakującym przeprowadzenie ataków siłowych (brute-force) na poświadczenia lub wykorzystanie podatności tego typu (CWE-798 Use of Hard-coded Credentials) do pozyskania wrażliwych danych przechowywanych w bazie.
Dostęp do baz danych przechowujących dane szczególnie chronione powinien być możliwy do uzyskania jedynie poprzez połączenie lokalne lub sieć prywatną (VPN) z uwierzytelnieniem wieloskładnikowym.
Zespół CERT Polska rekomenduje producentom systemu wdrożenie mechanizmów wymuszających ustawienie przez użytkownika złożonego hasła do bazy danych podczas pierwszej konfiguracji środowiska oraz możliwość jego zmiany w przyszłości w razie potrzeby. Więcej informacji na temat haseł oraz rekomendacje techniczne dla systemów uwierzytelniania znajdują się na stronie cert.pl/hasla.
