[[355696]]

在共享的電子病歷OpenClinic應(yīng)用程序中發(fā)現(xiàn)了四個(gè)漏洞。其中人們最關(guān)注的是，一個(gè)允許遠(yuǎn)程的未經(jīng)認(rèn)證的攻擊者從應(yīng)用程序中讀取患者的個(gè)人健康信息(PHI)的漏洞。

Bishop Fox的研究人員表示，OpenClinic是一款開源的健康記錄管理軟件;它的最新版本是2016年發(fā)布的0.8.2版，所以漏洞仍然沒有被修補(bǔ)。該項(xiàng)目組沒有立即回復(fù)Threatpost的評(píng)論。

據(jù)研究人員的說，這四個(gè)漏洞涉及身份驗(yàn)證缺失;不安全的文件上傳;跨站腳本攻擊(XSS);以及路徑遍歷。最嚴(yán)重的漏洞(CVE-2020-28937)是由于缺少對(duì)醫(yī)療測試信息請(qǐng)求的認(rèn)證的檢查。

通過認(rèn)證的醫(yī)護(hù)人員可以為患者上傳醫(yī)學(xué)檢測文件，然后將其存儲(chǔ)在'/tests/'目錄中。遺憾的是，系統(tǒng)沒有要求患者登錄就能查看檢驗(yàn)結(jié)果。

該公司在周二的帖子中寫道，

• 任何擁有有效的醫(yī)療檢測文件完整路徑的人都可以訪問這些信息，這可能會(huì)導(dǎo)致存儲(chǔ)在應(yīng)用程序中的任何醫(yī)療記錄的PHI丟失。

一個(gè)好消息是，攻擊者需要知道或猜測存儲(chǔ)在"/tests/"目錄中的文件名，才能利用該漏洞。

研究人員寫道：

• 不過，醫(yī)學(xué)測試文件名是可以猜測的，有效的文件名也可以通過服務(wù)器或其他網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的日志文件獲得。

醫(yī)療記錄是地下網(wǎng)絡(luò)犯罪的熱門商品——瘋狂的想盜用身份或進(jìn)行網(wǎng)絡(luò)釣魚的詐騙者可以利用存儲(chǔ)的個(gè)人信息進(jìn)行使人信以為真的犯罪。

Bishop Fox發(fā)現(xiàn)的另一個(gè)漏洞允許經(jīng)過驗(yàn)證的攻擊者在應(yīng)用服務(wù)器上進(jìn)行遠(yuǎn)程代碼執(zhí)行操作。這個(gè)危險(xiǎn)的文件上傳漏洞(CVE-2020-28939)允許管理員和管理員角色的用戶上傳惡意文件，如PHP Web shell，從而導(dǎo)致應(yīng)用服務(wù)器上的任意代碼執(zhí)行漏洞。

據(jù)Bishop Fox介紹，

• 具有為患者輸入醫(yī)學(xué)測試權(quán)限的管理員用戶能夠使用'/openclinic/medical/test_new.php文件' 將文件上傳到應(yīng)用程序中。這個(gè)功能沒有限制可以上傳到應(yīng)用程序的文件類型。因此，用戶可以上傳一個(gè)包含簡單的PHP web shell的文件

應(yīng)用程序的惡意用戶可以利用這個(gè)漏洞獲得敏感信息的訪問權(quán)，升級(jí)權(quán)限，在應(yīng)用程序服務(wù)器上安裝惡意程序，或者利用服務(wù)器作為跳板獲得對(duì)內(nèi)部網(wǎng)絡(luò)的訪問權(quán)。

第三個(gè)漏洞是一個(gè)中等嚴(yán)重程度的存儲(chǔ)型XSS漏洞(CVE-2020-28938)，允許未經(jīng)認(rèn)證的攻擊者嵌入一個(gè)有效載荷，如果被管理員用戶點(diǎn)擊，攻擊者的賬戶將會(huì)提升權(quán)限。

根據(jù)Bishop Fox的說法，

• 雖然應(yīng)用程序代碼中包含了防止XSS攻擊的措施，但發(fā)現(xiàn)這些措施可以被繞過。用戶被允許輸入的HTML標(biāo)簽被限制在/lib/Check.php中指定的一個(gè)白名單中。

Bishop Fox稱，這意味著在真實(shí)的攻擊場景中，攻擊者可以向受害者發(fā)送一個(gè)惡意鏈接--當(dāng)點(diǎn)擊該鏈接時(shí)，將允許他們以另一個(gè)用戶的身份來進(jìn)行攻擊。

研究人員解釋說，

• 為了驗(yàn)證漏洞的影響，在患者的醫(yī)療記錄中嵌入一個(gè)XSS有效載荷，此時(shí)具有較低特權(quán)的用戶角色，當(dāng)管理員點(diǎn)擊時(shí)，這個(gè)有效載荷在攻擊者的控制下創(chuàng)建了一個(gè)新的管理員賬戶，從而允許攻擊者升級(jí)權(quán)限。

最后一個(gè)漏洞是一個(gè)低影響程度的路徑遍歷問題(沒有分配CVE)，可以允許通過身份驗(yàn)證的攻擊者將文件存儲(chǔ)在應(yīng)用程序服務(wù)器的指定目錄之外。

根據(jù)研究人員的說法，

管理員用戶可以通過'/admin/theme_new.php'文件向應(yīng)用程序上傳新的主題，這會(huì)導(dǎo)致在安裝OpenClinic的目錄下的css文件夾下創(chuàng)建新文件。同時(shí)可以從css文件夾中導(dǎo)出來，將文件存儲(chǔ)在文件系統(tǒng)的其他地方。

Bishop Fox在8月底首次發(fā)現(xiàn)了這些bug，并多次嘗試通過郵件聯(lián)系OpenClinic開發(fā)團(tuán)隊(duì)，但都沒有得到回應(yīng)。

研究人員說，

• 目前任何版本的OpenClinic都存在已發(fā)現(xiàn)的漏洞，建議改用其他醫(yī)療記錄管理軟件。

本文翻譯自：https://threatpost.com/electronic-medical-records-openclinic-bugs/161722/如若轉(zhuǎn)載，請(qǐng)注明原文地址。