Zaszyte jawnym tekstem hasła administratora w medycznym systemie Medhost

System firmy Medhost – „Perioperative Information Management” (aka PIMS lub VPIMS) pomocny podczas zarządzania informacjami o stanie zdrowia pacjentów, zawiera poważne „niedociągnięcia” z czasu projektowania aplikacji. Wszystkie wersje oprogramowania Medhost przed 2015R1 posiadają (CVE-2016-4328) zaszyte poświadczenia administratora (login i hasło: „dms”) otwartym tekstem do łączenia się z bazą danych PostgreSQL, która zawiera wprowadzoną dokumentację pacjentów. W skrócie oznacza to, że osoba atakująca, która pozyska informacje logowania może zdalnie dostać się do serwera Apache Solr, który działa domyślnie na porcie TCP8080 i uzyska dostęp do bardzo newralgicznych informacji.

Druga podatność (CVE-2017-11614) zarezerwowana jest dla Medhost Connex – elektronicznego rejestru szczepionek. Dostęp do użytkownika bazy danych jest zahardkodowany w wielu miejscach aplikacji: nazwa użytkownika to HMSCXPDN, natomiast hasło nie zostało opublikowane przez odkrywcę podatności. Niestety klienci nie mają możliwości zmiany poświadczeń – są one ustawiane dla wszystkich takie same podczas instalacji. Co ciekawe klienci, którzy nie korzystają z Medhost Connex są tak samo narażeni na atak – instalator i tak tworzy konto dla Medhost Connex. Atakujący, który uzyska dostęp do tabel bazy danych może modyfikować poufne dane pacjenta i finansowe informacje.

Firma Medhost została założona 30 lat temu. Wydaje się, że za tak długim stażem będzie podążało doświadczenie i troska o cyfrowe bezpieczeństwo. Chyba ktoś „zapomniał” o przeprowadzeniu audytu. W urządzeniach i systemach dla branży medycznej nie powinno dochodzić do takich incydentów, a jednak dochodzi. Przypadki porzucania wsparcia dla komercyjnego i specjalistycznego oprogramowania już po kilku latach od wygranego przetargu nie należą do rzadkości.

Klientom Medhost zaleca się migrację na alternatywne systemy.




Dodaj komentarz