Podatności w oprogramowaniach przychodni medycznych

cert.pl 4 miesięcy temu

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniach aplikacji medycznych stosowanych przez przychodnie i koordynował proces ujawniania informacji.

Eurosoft Przychodnia

Podatność CVE-2024-1228 polega na stosowaniu zakodowanego na stałe, tego samego we wszystkich instalacjach, hasła do bazy danych. Podatność dotyczy systemu Eurosoft Przychodnia do wersji 20240417.001, która zawiera poprawkę bezpieczeństwa.

drEryk Gabinet

Podatność CVE-2024-3699 polega na stosowaniu zakodowanego na stałe, tego samego we wszystkich instalacjach, hasła do bazy danych. Podatność dotyczy systemu drEryk Gabinet od wersji 7.0.0.0 do 9.17.0.0. Wersja 9.18.0.0 zawiera poprawkę bezpieczeństwa.

SimpleCare

Podatność CVE-2024-3700 polega na stosowaniu zakodowanego na stałe, tego samego we wszystkich instalacjach, hasła do bazy danych. Podatność dotyczy systemu Simple Care firmy Estomed Sp. z o.o. we wszystkich wersjach. Oprogramowanie nie jest dalej wspierane.

Inne programy

Podczas koordynowanego ujawniania podatności kontaktowaliśmy się także z producentami innych programów stosowanych w przychodniach medycznych. W przypadku programów mMedica firmy Asseco oraz Kamsoft KS-AOW, Kamsoft KS-PPS podobne podatności zostały wykryte wewnętrznie i usunięte we wcześniejszych latach, w związku z czym odstąpiliśmy od nadania identyfikatorów CVE.

Zalecenia dot. konfiguracji systemu przetwarzającego dane wrażliwe

Przeprowadzona analiza wykazała, iż częstą praktyką stosowaną przez administratorów placówek medycznych jest udostępnianie moźliwości połączenia z bazą danych medycznych z publicznej sieci Internet. Umożliwia to atakującym przeprowadzenie ataków siłowych (brute-force) na poświadczenia lub wykorzystanie podatności tego typu (CWE-798 Use of Hard-coded Credentials) do pozyskania wrażliwych danych przechowywanych w bazie.

Dostęp do baz danych przechowujących dane szczególnie chronione powinien być możliwy do uzyskania jedynie poprzez połączenie lokalne lub sieć prywatną (VPN) z uwierzytelnieniem wieloskładnikowym.

Zespół CERT Polska rekomenduje producentom systemu wdrożenie mechanizmów wymuszających ustawienie przez użytkownika złożonego hasła do bazy danych podczas pierwszej konfiguracji środowiska oraz możliwość jego zmiany w przyszłości w razie potrzeby. Więcej informacji na temat haseł oraz rekomendacje techniczne dla systemów uwierzytelniania znajdują się na stronie cert.pl/hasla.

Idź do oryginalnego materiału
  1. Strona główna
  2. Podatności i biuletyny
  3. Podatności w oprogramowaniach przychodni medycznych

Powiązane

Uwaga na Splunka w wersji Enterprise

Uwaga na Splunka w wersji Enterprise

1 dzień temu
Co zrobić z ręcznik który zostawia kłaczki?

Co zrobić z ręcznik który zostawia kłaczki?

5 dni temu
Co lepsze Windows 11 czy Linux?

Co lepsze Windows 11 czy Linux?

5 dni temu
Rozrost zasobów chmurowych – jakie niesie za sobą ryzyko?

Rozrost zasobów chmurowych – jakie niesie za sobą ryzyko?

6 dni temu
Spawanie MIG i MAG – różnice, zalety i zastosowania w przemyśle

Spawanie MIG i MAG – różnice, zalety i zastosowania w przemy...

1 tydzień temu
Microsoft gasi światło. Ten Windows przejdzie do historii

Microsoft gasi światło. Ten Windows przejdzie do historii

1 tydzień temu
Krytyczna podatność (9,8 w skali CVSS) w FortiOS. Ponad 87 tys. urządzeń podatnych na ataki polegające na zdalnym wykonywaniu kodu

Krytyczna podatność (9,8 w skali CVSS) w FortiOS. Ponad 87 t...

1 tydzień temu
Czy można zjeść kawior po terminie?

Czy można zjeść kawior po terminie?

1 tydzień temu
Problemy z aktualizacją kluczowych aplikacji na Androida. Na liście m.in. YouTube

Problemy z aktualizacją kluczowych aplikacji na Androida. Na...

1 tydzień temu