Уязвимости OpenEMR | OTUS

Курсы

Программирование
iOS Developer. Basic
-23%
Python Developer. Professional
-13%
Golang Developer. Professional
-17%
Python Developer. Basic
-16%
iOS Developer. Professional
-13%
C# ASP.NET Core разработчик
-18%
Unity Game Developer. Professional
-11%
React.js Developer
-12%
Android Developer. Professional
-7%
Software Architect
-12%
C++ Developer. Professional
-8%
Разработчик C#
-8%
Backend-разработчик на PHP
-8%
Архитектура и шаблоны проектирования
-12%
Программист С Разработчик на Spring Framework MS SQL Server Developer AWS для разработчиков Cloud Solution Architecture Разработчик голосовых ассистентов и чат-ботов Vue.js разработчик VOIP инженер Нереляционные базы данных Супер - интенсив по паттернам проектирования Супер-практикум по использованию и настройке GIT IoT-разработчик Advanced Fullstack JavaScript developer Супер-интенсив Azure
Инфраструктура
Мониторинг и логирование: Zabbix, Prometheus, ELK
-17%
DevOps практики и инструменты
-18%
Архитектор сетей
-21%
Инфраструктурная платформа на основе Kubernetes
-22%
Супер-интенсив «IaC Ansible»
-16%
Супер-интенсив по управлению миграциями (DBVC)
-16%
Administrator Linux. Professional
-5%
Administrator Linux.Basic
-10%
Супер-интенсив «ELK»
-10%
Базы данных Сетевой инженер AWS для разработчиков Cloud Solution Architecture Разработчик голосовых ассистентов и чат-ботов Внедрение и работа в DevSecOps Супер-практикум по работе с протоколом BGP Супер - интенсив по паттернам проектирования Супер - интенсив по Kubernetes Супер-интенсив «СУБД в высоконагруженных системах»
Специализации Курсы в разработке Подготовительные курсы
+7 499 938-92-02

Уязвимости OpenEMR

App_Security_Deep_28.11-5020-5a6ae1.png

Бумажные медицинские карты и «медицинские книжки» уже давно не используются в мед. учреждениях. На смену бумажным носителям пришли электронные медицинские карты, содержащие всю историю обращений, описания всех болезней и процедур лечения пациента. Организации в сфере здравоохранения используют специальное программное обеспечение для управления медицинскими процедурами и хранения данных о пациентах.

Одним из таких приложений является OpenEMR – открытая платформа для ведения медицинской практики. Данное программное обеспечение является бесплатным (любая организация может совершенно бесплатно использовать этот продукт для своего бизнеса) и открытым (исходный код данного продукта доступен любому разработчику).

Кроме того, это программное обеспечение имеет сертификат ONC Complete Ambulatory EHR, который выдает авторитетная организация в сфере здравоохранения. Именно все эти особенности обеспечили популярность данной платформы среди различных медицинских учреждений по всему миру. Достаточно взглянуть на карту, чтобы оценить распространенность этого «лакомого кусочка» для преступников, охотящихся за медицинской информацией.

География инсталляций OpenEMR:

DxH5CRnX4AEnwN_.jpglarge-20219-9a18ff.jpg

Так вот, к чему это всё? В результате беглого анализа безопасности OpenEMR, выяснилось, что вполне реален следующий сценарий:

Шаг 1: злоумышленник внедряет вредоносный код на этапе регистрации на данном портале в качестве пациента. Шаг 2: данный код попадает на главную страницу портала, и пользователь, который просматривает эту страницу, расстаётся со своими учётными данными (и, как следствие, медицинскими данными). Шаг 3: таким образом злоумышленник собирает медицинскую информацию всех пользователей данного портала, среди которых есть и врачи. Шаг 4: учётные данные врачей и администраторов позволяют злодею добраться до всех пациентов.

DxC7ZJ1UYAEgePp_1-20219-5c97ce.jpg

Итог: мы смотрим очередную новость про «громкую утечку медицинских данных, в результате которой пострадали 100500 пользователей».

(Все обнаруженные уязвимости уже переданы разработчикам для исправления).

Не пропустите новые полезные статьи!

Спасибо за подписку!

Мы отправили вам письмо для подтверждения вашего email.
С уважением, OTUS!

Автор
0 комментариев
Для комментирования необходимо авторизоваться