Tasy EMR имеет системную уязвимость. CISA (агентство по кибербезопасности США) заявило 4‑го Ноября о потенциальных критический уязвимостях системы медицинских карт Philips Tasy EMR. Их система базы данных клиентов может быть взломана с удалённого сервера с последствием извлечения конфиденциальных и персональных данных пациентов. Которые могут входить в число данных защищаемых врачебной тайной.
Так же было упомянуто в сообщении. Что использование этих уязвимостей может не только привести к краже персональных данных. Но и к сбою самой системы и созданию условий в отказе в доступе или отказе в обслуживании.
Более чем 950 мед центров используют Tasy EMR
На данный момент Philips Tasy EMR интегрируется как решение для лёгкости обслуживания в медучреждениях. Данная система обеспечивает централизованное управление. А именно клиническими, организационными и административными процессами. Включая аналитику, выставление счетов, управление запасами и поставками рецептов для пациентов. Philips Tasy EMR уже интегрирована более чем в 950 медицинских центрах. В основном в Латинской Америке.
SQL инъекция
SQL инъекция — это один из самых доступных способов взлома сайта.
Суть таких инъекций – внедрение в данные (передаваемые через GET, POST запросы или значения Cookie) произвольного SQL кода. Если сайт уязвим и выполняет такие инъекции, то по сути есть возможность творить с БД (чаще всего это MySQL) что угодно.
Подробнее
Уязвимость SQL-инъекции, а конкретней – CVE-2021-39375 и CVE-2021-39376 влияют на Tasy EMR HTML5 3. 06. 1803 и ранее и могут позволить злоумышленнику изменять команды базы данных SQL, что приводит к несанкционированному доступу, раскрытию конфиденциальной информации и даже выполнение произвольных системных команд. Обе проблемы безопасности были оценены на 8, 8 из 10 по степени значимости:
CVE-2021-39375: затронутый продукт позволяет внедрять SQL-код с помощью параметра WAdvancedFilter getDimensionItemsByCode FilterValue.
CVE-2021-39376: затронутый продукт допускает внедрение SQL-кода с помощью параметра CorCad_F2 executaConsultaEspecifico IE_CORPO_ASSIST или CD_USUARIO_CONVENIO.
Однако стоит отметить, что для использования этих уязвимостей необходимо, чтобы злоумышленник уже обладал учетными данными, которые предоставляют доступ к уязвимой системе.
Пока что только угроза
«В настоящее время Philips не получала сообщений об использовании этих уязвимостей или инцидентах в клинических условиях, которые мы могли бы связать с этой проблемой». Отмечается в сообщении голландской компании. «Анализ Philips показал, что маловероятно, что эта уязвимость повлияет на клиническое использование. Анализ Philips также указывает на отсутствие опасений для пациентов из-за этой проблемы».
Рекомендуется медицинским учреждениям:
Всем поставщикам медицинских услуг. Которые используют уязвимую версию системы EMR, обновить версию до 3. 06. 1804. или выше как можно скорее. Чтобы предотвратить потенциальную эксплуатацию в реальном мире.