Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatności w oprogramowaniach przychodni medycznych
10 czerwca 2024 | CERT Polska | #podatność, #ostrzeżenie, #cve, #top
CVE ID CVE-2024-1228
Data publikacji 10 czerwca 2024
Producent podatnego oprogramowania EuroSoft Sp. z o. o.
Nazwa podatnego oprogramowania Eurosoft Przychodnia
Podatne wersje Wszystkie do 20240417.001
Typ podatności (CWE) Use of Hard-coded Credentials (CWE-798)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2024-3699
Data publikacji 10 czerwca 2024
Producent podatnego oprogramowania drEryk sp. z o.o.
Nazwa podatnego oprogramowania drEryk Gabinet
Podatne wersje Od 7.0.0.0 do 9.17.0.0. włącznie
Typ podatności (CWE) Use of Hard-coded Credentials (CWE-798)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2024-3700
Data publikacji 10 czerwca 2024
Producent podatnego oprogramowania Estomed Sp. z o.o.
Nazwa podatnego oprogramowania Simple Care
Podatne wersje Wszystkie wersje
Typ podatności (CWE) Use of Hard-coded Credentials (CWE-798)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniach aplikacji medycznych stosowanych przez przychodnie i koordynował proces ujawniania informacji.

Eurosoft Przychodnia

Podatność CVE-2024-1228 polega na stosowaniu zakodowanego na stałe, tego samego we wszystkich instalacjach, hasła do bazy danych. Podatność dotyczy oprogramowania Eurosoft Przychodnia do wersji 20240417.001, która zawiera poprawkę bezpieczeństwa.

drEryk Gabinet

Podatność CVE-2024-3699 polega na stosowaniu zakodowanego na stałe, tego samego we wszystkich instalacjach, hasła do bazy danych. Podatność dotyczy oprogramowania drEryk Gabinet od wersji 7.0.0.0 do 9.17.0.0. Wersja 9.18.0.0 zawiera poprawkę bezpieczeństwa.

SimpleCare

Podatność CVE-2024-3700 polega na stosowaniu zakodowanego na stałe, tego samego we wszystkich instalacjach, hasła do bazy danych. Podatność dotyczy oprogramowania Simple Care firmy Estomed Sp. z o.o. we wszystkich wersjach. Oprogramowanie nie jest dalej wspierane.

Inne programy

Podczas koordynowanego ujawniania podatności kontaktowaliśmy się także z producentami innych programów stosowanych w przychodniach medycznych. W przypadku programu mMedica firmy Asseco podobna podatność została wykryta wewnętrznie i usunięta we wcześniejszych latach, w związku z czym odstąpiliśmy od nadania identyfikatora CVE. W przypadku programów Kamsoft KS-AOW i Kamsoft KS-PPS, producent zapowiedział wprowadzenie rozwiązań zniechęcających do używania domyślnego, predefiniowanego hasła.

Zalecenia dot. konfiguracji oprogramowania przetwarzającego dane wrażliwe

Przeprowadzona analiza wykazała, że częstą praktyką stosowaną przez administratorów placówek medycznych jest udostępnianie moźliwości połączenia z bazą danych medycznych z publicznej sieci Internet. Umożliwia to atakującym przeprowadzenie ataków siłowych (brute-force) na poświadczenia lub wykorzystanie podatności tego typu (CWE-798 Use of Hard-coded Credentials) do pozyskania wrażliwych danych przechowywanych w bazie.

Dostęp do baz danych przechowujących dane szczególnie chronione powinien być możliwy do uzyskania jedynie poprzez połączenie lokalne lub sieć prywatną (VPN) z uwierzytelnieniem wieloskładnikowym.

Zespół CERT Polska rekomenduje producentom oprogramowania wdrożenie mechanizmów wymuszających ustawienie przez użytkownika złożonego hasła do bazy danych podczas pierwszej konfiguracji środowiska oraz możliwość jego zmiany w przyszłości w razie potrzeby. Więcej informacji na temat haseł oraz rekomendacje techniczne dla systemów uwierzytelniania znajdują się na stronie cert.pl/hasla.

Podziękowania

Dziękujemy Jakubowi Staśkiewiczowi, autorowi bloga OpenSecurity za przekazanie zgłoszenia podatności znalezionych przez anonimowego czytelnika. Na blogu OpenSecurity został opublikowany artykuł "Wrażliwe dane medyczne milionów Polaków na wyciągnięcie ręki" omawiający proces ujawniania podatności od strony zgłaszającego.

Aktualizacja 11.06.2024:

Doprecyzowaliśmy fragment związany z aplikacjami firmy Kamsoft, które nie używały zakodowanych na stałe haseł, a jedynie predefiniowane. Dodatkowo, po kontakcie, producent zapowiedział wprowadzenie rozwiązań zniechęcających do użycia domyślnego, predefiniowanego hasła.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.