(https://www.helpnetsecurity.com/images/posts/healthcare.jpg)
Una vulnerabilidad en el software open source de registros electrónicos médicos y administración medica OpenEMR pudo haber sido explotada para robar los registros médicos de los pacientes así como otra información personal.
OpenEMR es usado en todo el mundo. En 2012 se estimo que el numero de instalaciones ( en oficinas físicas y otras pequeñas entidades medicas) ascendía a 5.000 en USA, y global-mente a unas 15.000. Algunas de ellas son la International Planned Parenthood Federation y the Peace Corps.
El bug fue descubierto por investigadores de la compañía que ya habían descubierto previamente otros errores en OpenEMR, la responsabilidad recae sobre los desarrolladores. El error ha sido dejado atrás en la versión de Noviembre: 6th patch for OpenEMR v5.0.0.
Acerca de la Vulnerabilidad
El componente vulnerable es el script de instalación setup.php, que permite a los usuarios instalar fácilmente la aplicación a través de un navegador web.
Isaac Sears, quien lanzó detalles y explotó código para otro error SQL que involucraba el script setup.php a finales de octubre, descubrió que podría permitir la copia de bases de datos remotas no autenticadas porque expone la funcionalidad para clonar un sitio OpenEMR existente a un servidor MySQL controlado por atacante.
"El impacto del problema informado por Isaac Sears es un poco diferente, ya que 'solo' permite clonar la base de datos a un sitio remoto, que incluye, por ejemplo, hash de contraseñas. Sin embargo, incluso después de aplicar el parche, todavía era posible abusar de setup.php para instanciar un nuevo sitio, con una configuración separada, conectando a una base de datos remota de MySQL ", dijo Sven Krewitt, investigador de seguridad basado en riesgos, a Help Net Security.
"La configuración de cada nuevo sitio incluye parámetros de la base de datos MySQL, que un atacante puede elegir arbitrariamente. La especificación de una base de datos MySQL remota y controlada por atacante durante una nueva configuración del sitio crearía, por lo tanto, una instancia OpenEMR adicional que se conecta a un servidor MySQL remoto. Además, la cuenta de administrador se puede especificar durante una instalación deshonesta de varios sitios, lo que provoca que la autenticación del nuevo sitio ahora use la base de datos remota. Este enfoque permite a un atacante remoto no autenticado obtener acceso administrativo a la instalación actual y original de OpenEMR ", explicaron los investigadores en un informe publicado el martes.
"Tener acceso con privilegios de administrador a una instancia de OpenEMR se considera crítico, pero las bases de datos del sitio están separadas entre sí. Sin embargo, el administrador puede editar archivos PHP locales a través del menú 'Administración / Archivos'. Esto permite insertar código PHP arbitrario, que se ejecuta en el contexto del servidor web. Esto finalmente permite obtener el control total de la instalación y, p. divulgar todos los datos almacenados del paciente en la base de datos o el sistema de archivos ".
Problema Solucionado
Como se mencionó anteriormente, esta última vulnerabilidad ha sido parcheada hace más de dos semanas.
"Los detalles que informamos al proveedor resultaron en OpenEMR 5.0.0 Patch 6, que asegura que la funcionalidad * all * critical ahora está restringida de manera predeterminada", nos dijo Krewitt.
Además de esto, el equipo de desarrollo de OpenEMR agregó una advertencia de seguridad en el wiki de OpenEMR, que aconseja a los usuarios eliminar el script setup.php después de la instalación / actualización, ya que no es necesario para el uso general de OpenEMR.
La explotación de esta última falla depende de los permisos de directorio que permiten la configuración de un nuevo sitio, pero el escaneo de los investigadores de RBS de las instalaciones OpenEMR accesibles a Internet reveló que más de la mitad tenía permisos inseguros que permitían el ataque.
"Esto respalda aún más la preocupación de que el software se instale en la nube y se bloquee indebidamente. Si bien todavía creemos que otras instalaciones en redes privadas se ven afectadas, el hecho de que estas instalaciones en la nube se vean afectadas significa que la información de muchas organizaciones y pacientes es muy probable que esté expuesta actualmente ", señalaron.
Fuente: helpnetsecurity.com