Vulns en código abierto EHR pone datos de salud del paciente …


Cinco fallas de alto riesgo en el software de TI de salud de LibreHealth, encuentra un investigador de Bishop Fox.

Los investigadores de seguridad de Bishop Fox han descubierto varias vulnerabilidades críticas en un sistema emergente de registros electrónicos de salud de código abierto (EHR) de LibreHealth.

Las vulnerabilidades brindan a los atacantes no autenticados múltiples formas de comprometer el servidor subyacente de la aplicación y obtener acceso a información confidencial de salud del paciente y registros de salud, dijo la firma de pruebas de seguridad Bishop Fox esta semana.

Las vulnerabilidades están presentes en LibreHealth EHR v2.., una aplicación que los profesionales de la salud pueden usar para almacenar y acceder electrónicamente a los registros de salud de un paciente. El obispo Fox descubrió las vulnerabilidades en febrero y notificó a LibreHealth sobre los problemas en marzo. El obispo Fox reveló las fallas esta semana después de que LibreHealth lanzó lo que la empresa de seguridad describió como «parches en progreso» para los errores.

Chris Davis, consultor de seguridad de Bishop Fox, dice que aún no hay evidencia de que alguna de las vulnerabilidades haya sido explotada activamente. Describe los defectos como presentar una bolsa mixta desde el punto de vista de la facilidad de explotación. «En términos generales, no es un obstáculo para los atacantes explotar estos problemas», dice Davis. «Los problemas de application vulnerables contienen algunos problemas conocidos que han existido por un tiempo y están bien documentados, lo que aumenta la probabilidad de que sean explotados en la naturaleza». Davis dice que no sabe cuántos registros de salud están potencialmente expuestos a estas vulnerabilidades.

en un entrada en el blog El martes, Davis dijo que había descubierto un whole de cinco fallas de alto riesgo en LibreHealth EHR v2… Consistieron en una falla de inyección SQL que condujo a la divulgación de datos un mistake de inclusión de archivo area que podría usarse para entrar en el servidor subyacente un error de secuencia de comandos entre sitios y un problema de falsificación de solicitudes entre sitios que les dio a atacantes no autenticados una forma de llevar a cabo una variedad de ataques. Además, la aplicación LibreHealth EHR también contenía múltiples vulnerabilidades críticas que se heredaron cuando el software se bifurcó originalmente de la foundation de código de OpenEMR.

La seguridad de los sistemas que se utilizan para almacenar y entregar electrónicamente información de salud del paciente se ha vuelto más importante debido al mayor uso de los servicios de telesalud para la mayoría de los problemas de salud no relacionados con COVID-19.

Según Davis, ha habido un aumento reciente en el interés en las advertencias que Bishop Fox ha publicado en el pasado sobre las vulnerabilidades que ha descubierto en una variedad de productos de program de atención médica como OpenEMR, SolisMed, Intersystems Cache y OpenMRS. «Todos se vieron afectados por problemas de alto riesgo que podrían conducir a la exposición de datos del paciente», dice.

Desde el comienzo de la pandemia a principios de este año, los proveedores de seguridad han notado un aumento general en el interés de los atacantes no solo en los sistemas electrónicos de salud sino en una variedad de otros servicios que han visto un aumento reciente en el uso. Los más atacados entre ellos han sido las videoconferencias y otras aplicaciones y herramientas de comunicación.

Proyecto de código abierto
LibreHealth es parte de Software program Independence Conservancy, un grupo sin fines de lucro que ayuda a promover el uso de application de código abierto. Varios colaboradores voluntarios de múltiples proyectos de informática de salud de código abierto Unido para formar la comunidad de LibreHealth en noviembre de 2016. Algunos de los proyectos de TI de salud en los que los miembros fundadores habían trabajado anteriormente tenían miles de instalaciones en todo el mundo, incluso dentro de agencias gubernamentales, organizaciones sin fines de lucro y organizaciones más pequeñas. Una declaración que anuncia el lanzamiento de LibreHealth lo describió como centrado en la creación de software program de TI de salud que incorporaría lo mejor de los proyectos anteriores.

LibreHealth EHR es uno de los tres proyectos en los que actualmente participan miembros de la comunidad. Los otros dos son LibreHealth Radiology, para uso de profesionales de imágenes y radiología, y LibreHealth Toolkit, para crear otro computer software relacionado con la atención médica.

Davis dice que LibreHealth no ha lanzado una nueva versión de la aplicación que aborde todas las nuevas vulnerabilidades identificadas. «Han creado algunos tirones en GitHub que abordan algunos de los problemas, pero aún no han fusionado estas correcciones en una versión completa de fusión y parcheo», dice. «El vendedor está en contacto con nosotros y está trabajando para lograr el objetivo de un parche oficial».

Contenido relacionado:

Regístrese ahora para el Black Hat Usa totalmente digital de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio world-wide-web de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más strategies





Enlace a la noticia primary