[[355696]]

在共享的電子病歷OpenClinic應用程序中發(fā)現(xiàn)了四個漏洞。其中人們最關注的是，一個允許遠程的未經(jīng)認證的攻擊者從應用程序中讀取患者的個人健康信息(PHI)的漏洞。

Bishop Fox的研究人員表示，OpenClinic是一款開源的健康記錄管理軟件;它的最新版本是2016年發(fā)布的0.8.2版，所以漏洞仍然沒有被修補。該項目組沒有立即回復Threatpost的評論。

據(jù)研究人員的說，這四個漏洞涉及身份驗證缺失;不安全的文件上傳;跨站腳本攻擊(XSS);以及路徑遍歷。最嚴重的漏洞(CVE-2020-28937)是由于缺少對醫(yī)療測試信息請求的認證的檢查。

通過認證的醫(yī)護人員可以為患者上傳醫(yī)學檢測文件，然后將其存儲在'/tests/'目錄中。遺憾的是，系統(tǒng)沒有要求患者登錄就能查看檢驗結果。

該公司在周二的帖子中寫道，

• 任何擁有有效的醫(yī)療檢測文件完整路徑的人都可以訪問這些信息，這可能會導致存儲在應用程序中的任何醫(yī)療記錄的PHI丟失。

一個好消息是，攻擊者需要知道或猜測存儲在"/tests/"目錄中的文件名，才能利用該漏洞。

研究人員寫道：

• 不過，醫(yī)學測試文件名是可以猜測的，有效的文件名也可以通過服務器或其他網(wǎng)絡基礎設施上的日志文件獲得。

醫(yī)療記錄是地下網(wǎng)絡犯罪的熱門商品——瘋狂的想盜用身份或進行網(wǎng)絡釣魚的詐騙者可以利用存儲的個人信息進行使人信以為真的犯罪。

Bishop Fox發(fā)現(xiàn)的另一個漏洞允許經(jīng)過驗證的攻擊者在應用服務器上進行遠程代碼執(zhí)行操作。這個危險的文件上傳漏洞(CVE-2020-28939)允許管理員和管理員角色的用戶上傳惡意文件，如PHP Web shell，從而導致應用服務器上的任意代碼執(zhí)行漏洞。

據(jù)Bishop Fox介紹，

• 具有為患者輸入醫(yī)學測試權限的管理員用戶能夠使用'/openclinic/medical/test_new.php文件' 將文件上傳到應用程序中。這個功能沒有限制可以上傳到應用程序的文件類型。因此，用戶可以上傳一個包含簡單的PHP web shell的文件

應用程序的惡意用戶可以利用這個漏洞獲得敏感信息的訪問權，升級權限，在應用程序服務器上安裝惡意程序，或者利用服務器作為跳板獲得對內(nèi)部網(wǎng)絡的訪問權。

第三個漏洞是一個中等嚴重程度的存儲型XSS漏洞(CVE-2020-28938)，允許未經(jīng)認證的攻擊者嵌入一個有效載荷，如果被管理員用戶點擊，攻擊者的賬戶將會提升權限。

根據(jù)Bishop Fox的說法，

• 雖然應用程序代碼中包含了防止XSS攻擊的措施，但發(fā)現(xiàn)這些措施可以被繞過。用戶被允許輸入的HTML標簽被限制在/lib/Check.php中指定的一個白名單中。

Bishop Fox稱，這意味著在真實的攻擊場景中，攻擊者可以向受害者發(fā)送一個惡意鏈接--當點擊該鏈接時，將允許他們以另一個用戶的身份來進行攻擊。

研究人員解釋說，

• 為了驗證漏洞的影響，在患者的醫(yī)療記錄中嵌入一個XSS有效載荷，此時具有較低特權的用戶角色，當管理員點擊時，這個有效載荷在攻擊者的控制下創(chuàng)建了一個新的管理員賬戶，從而允許攻擊者升級權限。

最后一個漏洞是一個低影響程度的路徑遍歷問題(沒有分配CVE)，可以允許通過身份驗證的攻擊者將文件存儲在應用程序服務器的指定目錄之外。

根據(jù)研究人員的說法，

管理員用戶可以通過'/admin/theme_new.php'文件向應用程序上傳新的主題，這會導致在安裝OpenClinic的目錄下的css文件夾下創(chuàng)建新文件。同時可以從css文件夾中導出來，將文件存儲在文件系統(tǒng)的其他地方。

Bishop Fox在8月底首次發(fā)現(xiàn)了這些bug，并多次嘗試通過郵件聯(lián)系OpenClinic開發(fā)團隊，但都沒有得到回應。

研究人員說，

• 目前任何版本的OpenClinic都存在已發(fā)現(xiàn)的漏洞，建議改用其他醫(yī)療記錄管理軟件。

本文翻譯自：https://threatpost.com/electronic-medical-records-openclinic-bugs/161722/如若轉(zhuǎn)載，請注明原文地址。