| CVE ID | CVE-2024-1228 |
| Data publikacji | 10 czerwca 2024 |
| Producent podatnego oprogramowania | EuroSoft Sp. z o. o. |
| Nazwa podatnego oprogramowania | Eurosoft Przychodnia |
| Podatne wersje | Wszystkie do 20240417.001 |
| Typ podatności (CWE) | Use of Hard-coded Credentials (CWE-798) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2024-3699 |
| Data publikacji | 10 czerwca 2024 |
| Producent podatnego oprogramowania | drEryk sp. z o.o. |
| Nazwa podatnego oprogramowania | drEryk Gabinet |
| Podatne wersje | Od 7.0.0.0 do 9.17.0.0. włącznie |
| Typ podatności (CWE) | Use of Hard-coded Credentials (CWE-798) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2024-3700 |
| Data publikacji | 10 czerwca 2024 |
| Producent podatnego oprogramowania | Estomed Sp. z o.o. |
| Nazwa podatnego oprogramowania | Simple Care |
| Podatne wersje | Wszystkie wersje |
| Typ podatności (CWE) | Use of Hard-coded Credentials (CWE-798) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniach aplikacji medycznych stosowanych przez przychodnie i koordynował proces ujawniania informacji.
Eurosoft Przychodnia
Podatność CVE-2024-1228 polega na stosowaniu zakodowanego na stałe, tego samego we wszystkich instalacjach, hasła do bazy danych. Podatność dotyczy oprogramowania Eurosoft Przychodnia do wersji 20240417.001, która zawiera poprawkę bezpieczeństwa.
drEryk Gabinet
Podatność CVE-2024-3699 polega na stosowaniu zakodowanego na stałe, tego samego we wszystkich instalacjach, hasła do bazy danych. Podatność dotyczy oprogramowania drEryk Gabinet od wersji 7.0.0.0 do 9.17.0.0. Wersja 9.18.0.0 zawiera poprawkę bezpieczeństwa.
SimpleCare
Podatność CVE-2024-3700 polega na stosowaniu zakodowanego na stałe, tego samego we wszystkich instalacjach, hasła do bazy danych. Podatność dotyczy oprogramowania Simple Care firmy Estomed Sp. z o.o. we wszystkich wersjach. Oprogramowanie nie jest dalej wspierane.
Inne programy
Podczas koordynowanego ujawniania podatności kontaktowaliśmy się także z producentami innych programów stosowanych w przychodniach medycznych. W przypadku programu mMedica firmy Asseco podobna podatność została wykryta wewnętrznie i usunięta we wcześniejszych latach, w związku z czym odstąpiliśmy od nadania identyfikatora CVE. W przypadku programów Kamsoft KS-AOW i Kamsoft KS-PPS, producent zapowiedział wprowadzenie rozwiązań zniechęcających do używania domyślnego, predefiniowanego hasła.
Zalecenia dot. konfiguracji oprogramowania przetwarzającego dane wrażliwe
Przeprowadzona analiza wykazała, że częstą praktyką stosowaną przez administratorów placówek medycznych jest udostępnianie moźliwości połączenia z bazą danych medycznych z publicznej sieci Internet. Umożliwia to atakującym przeprowadzenie ataków siłowych (brute-force) na poświadczenia lub wykorzystanie podatności tego typu (CWE-798 Use of Hard-coded Credentials) do pozyskania wrażliwych danych przechowywanych w bazie.
Dostęp do baz danych przechowujących dane szczególnie chronione powinien być możliwy do uzyskania jedynie poprzez połączenie lokalne lub sieć prywatną (VPN) z uwierzytelnieniem wieloskładnikowym.
Zespół CERT Polska rekomenduje producentom oprogramowania wdrożenie mechanizmów wymuszających ustawienie przez użytkownika złożonego hasła do bazy danych podczas pierwszej konfiguracji środowiska oraz możliwość jego zmiany w przyszłości w razie potrzeby. Więcej informacji na temat haseł oraz rekomendacje techniczne dla systemów uwierzytelniania znajdują się na stronie cert.pl/hasla.
Podziękowania
Dziękujemy Jakubowi Staśkiewiczowi, autorowi bloga OpenSecurity za przekazanie zgłoszenia podatności znalezionych przez anonimowego czytelnika. Na blogu OpenSecurity został opublikowany artykuł "Wrażliwe dane medyczne milionów Polaków na wyciągnięcie ręki" omawiający proces ujawniania podatności od strony zgłaszającego.
Aktualizacja 11.06.2024:
Doprecyzowaliśmy fragment związany z aplikacjami firmy Kamsoft, które nie używały zakodowanych na stałe haseł, a jedynie predefiniowane. Dodatkowo, po kontakcie, producent zapowiedział wprowadzenie rozwiązań zniechęcających do użycia domyślnego, predefiniowanego hasła.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.