ثغرات أمنية في برنامج الرعاية الصحية OpenEMR

مدير عام27 أغسطس 2020آخر تحديث :
ثغرات أمنية في برنامج الرعاية الصحية OpenEMR

ملحوظة المحرر: في المقالة ، نتناول نقاط الضعف في برامج الرعاية الصحية الشائعة لكي تكون على دراية بنقاط الضعف المحتملة. وإذا كنت تريد التأكد من حماية تطبيق الرعاية الصحية الخاص بك بشكل جيد من التهديدات الأمنية ، فاستكشف اختبار الأمان عرض.

OpenEMR هو الحل مفتوح المصدر الأكثر شيوعًا لإدارة السجلات الطبية الإلكترونية. تشير الإحصاءات إلى أن 100 مليون مريض لديهم بيانات في النظام في جميع أنحاء العالم.

أحد الجوانب التي تجعل هذا البرنامج شائعًا هو أن الناس يميلون إلى الوثوق به على أنه آمن وخالٍ من المشاكل. ومع ذلك ، أجرى باحثو الأمن السيبراني مراجعة لشفرة المصدر التي كشفت عن العديد من نقاط الضعف ، ونشروها لاحقًا في ورقة.

أنشأ الفريق بيئة الاختبار الخاصة بهم على خادم Debian LAMP وقام بتنزيل أحدث كود مصدر OpenEMR. ثم قاموا بمراجعتها يدويًا دون استخدام ماسحات الكود المصدري أو غيرها من الأدوات الآلية.

فيما يلي بعض نقاط الضعف الأكثر إثارة للقلق التي وجدها الباحثون.

المحتويات

الوصول غير المصرح به إلى الوظائف الإدارية

بوابة المريض هي مكون أساسي في نظام OpenEMR. إنه يمكّن المرضى من التواصل مع مزوديهم ، وملء النماذج والتوقيع عليها قبل مواعيدهم وحتى إجراء مشاورات بالفيديو مع المهنيين الصحيين.

يمكن للمستخدمين غير المصادق عليهم تجاوز شاشة تسجيل الدخول الرئيسية التي تسمح للمرضى بالوصول إلى السجلات أو السماح للمسؤولين بمعالجة الطلبات. يمكن للمتسللين القيام بذلك عن طريق الانتقال إلى صفحة تسجيل البوابة ، ثم تعديل عنوان URL. تتيح معرفة مسار عنوان URL النسبي للمتسللين تنفيذ إجراءات إدارية.

قد تؤدي نقاط الضعف في بوابة المرضى إلى تسرب معلومات حساسة مثل نتائج المختبر وتفاصيل حول الحساسية والأدوية والوصول غير المصرح به إلى تفاصيل الدفع.

حقن SQL

يعد إدخال SQL أحد أكثر أنواع الاختراق شيوعًا. يتطلب إدخال رمز ضار في قواعد بيانات SQL من خلال المدخلات المستندة إلى الويب. يسمح هذا النوع من الهجوم للأشخاص بعرض محتوى قاعدة البيانات والتعامل معه. في حالة OpenEMR ، أجرى الباحثون حوالي ثمانية عمليات حقن SQL.

بعض حقن SQL التي استخدمها الباحثون لا تتطلب المصادقة على بوابة المريض أولاً. ومع ذلك ، فقد احتاجوا جميعًا إلى مصادقة OpenEMR حتى يحدث الاستغلال.

قدم متخصصو الأمن السيبراني تفاصيل حول مقتطفات التعليمات البرمجية المتأثرة. لقد أوصوا باستخدام استعلامات ذات معلمات لتلك الأجزاء من الكود ، وهي طريقة مقبولة على نطاق واسع لمنع هجمات حقن SQL. يتضمن الاستعلام ذو المعلمات استخدام العناصر النائبة للمعلمات وتوفير القيم الضرورية عند تنفيذ استعلام SQL.

الكشف عن المعلومات غير المصرح به

يحدث الكشف عن المعلومات غير المصرح بها عندما لا يوفر التطبيق الحماية الكافية للمعلومات الحساسة من الأطراف التي لا ينبغي أن يكون لها حق الوصول إليها. على هذا النحو ، يمكن أن يعطي المتسللين تفاصيل لمساعدتهم في مراحل لاحقة من الهجوم.

كشفت الأبحاث عن عدة حالات للكشف عن معلومات غير مصرح بها داخل OpenEMR. أظهر أحدهما تفاصيل المستخدمين غير المصادق عليهم ، بما في ذلك اسم قاعدة البيانات والإصدار الحالي من OpenEMR الذي تستخدمه المؤسسة. عرض آخر معلومات الإصدار حول الإصدار المثبت من OpenEMR.

ضعف تحميل الملفات

خلال بحثهم ، وجد متخصصو الأمن السيبراني مشكلة تتسبب في عدم وجود فحوصات على ملفات الصور التي تم تحميلها من قبل المسؤولين. وخلصوا إلى أن المشكلة ستسمح للمستخدمين المصادق عليهم بالحصول على امتيازات عن طريق تحميل PHP web shell لتنفيذ أوامر النظام.

تضمنت التوصيات لإصلاح المشكلة وضع قائمة سوداء بملحقات غير الصور أو استخدام فحوصات أخرى للتحقق من أن الملف الذي تم تحميله عبارة عن صورة.

قضايا التزوير عبر الموقع

يحدث طلب التزوير عبر المواقع عندما يُجبر مستخدم معتمد لمنصة تستخدم ملفات تعريف الارتباط على المشاركة في إجراءات – غالبًا عن طريق النقر فوق الروابط الاحتيالية داخل الواجهة – والتي تتسبب في حدوث تغييرات في الحالة ، بدلاً من سرقة البيانات.

وجد الباحثون أن OpenEMR كان عرضة “لأكثر من عدة” مشكلات طلبات تزوير عبر المواقع ، وأن المشكلات أثرت تقريبًا على جميع الإجراءات الإدارية الممكنة على OpenEMR.

نتائج البحث

بعد أقل من ثلاثة أسابيع من كشف الفريق للنتائج التي توصلوا إليها إلى الشركة المصنعة للبرنامج ، دفعت الشركة بتحديث يعمل على إصلاح الثغرات الأمنية. بعد أسبوعين تقريبًا من هذا الإجراء المتجاوب ، تم نشر أخبار المشكلات التي تم الكشف عنها للجمهور.

أظهر البحث أن تقييم الثغرات الأمنية الدورية واختبار الاختراق الذي يجريه متخصصون يمكن أن يساعد في الكشف عن نقاط الضعف في منصات مماثلة قبل أن يتم استغلالها. الآن بعد أن ظهرت المشكلات في Open EMR ، يمكن لمتخصصي الأمن السيبراني العاملين في مؤسسات الرعاية الصحية التحقق للتأكد من عدم ظهورها مرة أخرى.

هذا هو دعوة لليقظة

لا يوجد نظام على الإنترنت ، حتى لو كان مستخدمًا على نطاق واسع ، خالٍ من مشكلات الأمان. كشف البحث الذي أجراه المتخصصون في مجال الأمن عن عيوب في OpenEMR ، والتي ينبغي أن تذكر المنظمات في القطاع الطبي بأنها لا تستطيع التغاضي عن الممارسات الأمنية.

انظر ماذا نقدم

information security consulting~ ~767w

خدمات اختبار الاختراق

حدد نقاط ضعف الشبكة والتطبيق قبل أن تتحول إلى تهديدات حقيقية لأمنك السيبراني.

اترك تعليق

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


شروط التعليق :

عدم الإساءة للكاتب أو للأشخاص أو للمقدسات أو مهاجمة الأديان أو الذات الالهية. والابتعاد عن التحريض الطائفي والعنصري والشتائم.

الاخبار العاجلة