Zaszyte jawnym tekstem hasła administratora w medycznym systemie Medhost

1 sierpnia, 2017

System firmy Medhost – „Perioperative Information Management” (aka PIMS lub VPIMS) pomocny podczas zarządzania informacjami o stanie zdrowia pacjentów, zawiera poważne „niedociągnięcia” z czasu projektowania aplikacji. Wszystkie wersje oprogramowania Medhost przed 2015R1 posiadają (CVE-2016-4328) zaszyte poświadczenia administratora (login i hasło: „dms”) otwartym tekstem do łączenia się z bazą danych PostgreSQL, która zawiera wprowadzoną dokumentację pacjentów. W skrócie oznacza to, że osoba atakująca, która pozyska informacje logowania może zdalnie dostać się do serwera Apache Solr, który działa domyślnie na porcie TCP8080 i uzyska dostęp do bardzo newralgicznych informacji.

Druga podatność (CVE-2017-11614) zarezerwowana jest dla Medhost Connex – elektronicznego rejestru szczepionek. Dostęp do użytkownika bazy danych jest zahardkodowany w wielu miejscach aplikacji: nazwa użytkownika to HMSCXPDN, natomiast hasło nie zostało opublikowane przez odkrywcę podatności. Niestety klienci nie mają możliwości zmiany poświadczeń – są one ustawiane dla wszystkich takie same podczas instalacji. Co ciekawe klienci, którzy nie korzystają z Medhost Connex są tak samo narażeni na atak – instalator i tak tworzy konto dla Medhost Connex. Atakujący, który uzyska dostęp do tabel bazy danych może modyfikować poufne dane pacjenta i finansowe informacje.

Firma Medhost została założona 30 lat temu. Wydaje się, że za tak długim stażem będzie podążało doświadczenie i troska o cyfrowe bezpieczeństwo. Chyba ktoś „zapomniał” o przeprowadzeniu audytu. W urządzeniach i systemach dla branży medycznej nie powinno dochodzić do takich incydentów, a jednak dochodzi. Przypadki porzucania wsparcia dla komercyjnego i specjalistycznego oprogramowania już po kilku latach od wygranego przetargu nie należą do rzadkości.

Klientom Medhost zaleca się migrację na alternatywne systemy.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

[ninja_tables id=”27481″]