To OpenClinic GA, ένα δημοφιλές σύστημα διαχείρισης ανοιχτού κώδικα, που χρησιμοποιείται από νοσοκομεία, βρέθηκε να περιέχει 12 ευπάθειες, που μπορούν να αξιοποιηθούν από κακόβουλους παράγοντες για πρόσβαση σε ευαίσθητες πληροφορίες ή για εγκατάσταση κακόβουλου λογισμικού στον server φιλοξενίας.
Όπως λέει η περιγραφή του OpenClinic GA πρόκειται για ένα “ολοκληρωμένο σύστημα διαχείρισης πληροφοριών νοσοκομείου, που καλύπτει τη διαχείριση διοικητικών, οικονομικών, κλινικών, εργαστηρίων, ακτινογραφιών, φαρμακείων, διανομής γευμάτων και άλλων δεδομένων.” Είναι μία υπηρεσία που χρησιμοποιείται σε όλο τον κόσμο, με σχεδόν 120.000 λήψεις.
Ο Brian Hysell, ανώτερος σύμβουλος της Synopsys Software Integrity Group, ανακάλυψε ότι το λογισμικό περιέχει δώδεκα ευπάθειες, οι περισσότερες από τις οποίες είναι κρίσιμες. Αν χρησιμοποιηθούν από hackers, μπορεί να έχουν σαν αποτέλεσμα την παράκαμψη των ελέγχων πρόσβασης και προστασίας λογαριασμού, την απόκτηση ευαίσθητων πληροφοριών, τη μεταφόρτωση και εκτέλεση αυθαίρετων αρχείων και αυθαίρετου κώδικα ή εντολών.
Η CISA (Cybersecurity and Infrastructure Security Agency), δημοσίευσε την περασμένη εβδομάδα μια ανακοίνωση που περιγράφει τα θέματα ασφαλείας που εντοπίστηκαν από τον Hysell.
Όπως δήλωσε ο ερευνητής, ανέφερε τα ευρήματά του τον Αύγουστο του 2018. Ωστόσο δεν κατάφερε να έρθει σε άμεση επαφή με τον προγραμματιστή της υπηρεσίας, ο οποίος τον Μάρτιο του 2019 δήλωσε ότι οι περισσότερες από τις ευπάθειες είχαν διορθωθεί. Παρόλα αυτά δεν γνωρίζουμε ακριβώς ποιες από τις ευπάθειες έχουν τελικά επιδιορθωθεί.
Σύμφωνα με τον Hysell, πολλές από τις ευπάθειες θα μπορούσαν να χρησιμοποιηθούν μαζί και να επιτρέψουν σε έναν εισβολέα που έχει πρόσβαση στην εφαρμογή μέσω ενός προγράμματος περιήγησης, να προχωρήσει σε διάφορες κακόβουλες δραστηριότητες, συμπεριλαμβανομένης της προβολής ή της τροποποίησης του περιεχομένου των βάσεων δεδομένων (στις οποίες βρίσκονται και δεδομένα των ασθενών) ή της εγκατάστασης κακόβουλου λογισμικού στον server που φιλοξενεί το OpenClinic GA.
«Άλλα σφάλματα (CVE-2020-14485) στη διαχείριση περιόδου λειτουργίας της εφαρμογής επιτρέπουν στους εισβολείς να παρακάμψουν εντελώς τη σύνδεση. Έτσι θα μπορούσαν να έχουν πρόσβαση μόνο σε ορισμένα τμήματα της εφαρμογής, όμως δυστυχώς, αυτά περιλαμβάνουν τον πίνακα ερωτημάτων SQL», πρόσθεσε ο ερευνητής.
Επιπλέον ο Hysell τονίζει ότι ένας κακόβουλος εισβολέας θα μπορούσε να εκμεταλλευτεί μερικές από τις ευπάθειες ακόμα και απευθείας από το διαδίκτυο, στην περίπτωση που κάποιος οργανισμός έχει ρυθμίσει την εφαρμογή ώστε να επιτρέπει απομακρυσμένη πρόσβαση.
