安全专家称,OpenClinic应用程序目前存在重大缺陷。Bishop Fox实验室的研究人员发现了四个问题E开源健康档案管理软件。
2011年12月27日,德国柏林,在第28届混沌通信大会(28C3)——敌后计算机黑客会议的第一天,一名参与者正在查看笔记本电脑上的代码行。混乱计算机俱乐部是欧洲最大的计算机黑客网络,其年度大会吸引了3000名参与者。
其中之一可能允许攻击者破坏受患者保护的健康信息。在发现这些漏洞后,Bishop Fox实验室多次尝试联系OpenClinic的开发团队。
在确认漏洞严重后,安全研究人员于12月1日立即向公众披露了这些漏洞。根据健康资讯科技保安美国国土安全部网络安全和基础设施安全局的最新报告还宣布了该医疗平台存在的12个缺陷。其中包括6个高度严重的问题和3个被列为关键问题。
OpenClinic最严重的缺陷
每日豪饮据报道,Bishop Fox的高级安全顾问Gerben Kleijn建议用户寻找替代的医疗保健软件包。Kleijn也发现了平台中最危险的缺陷。
2011年12月27日,德国柏林,在第28届混沌通信大会(28C3)的第一天,一名参与者正在检查示波器旁边的电路板。混乱计算机俱乐部是欧洲最大的计算机黑客网络,其年度大会吸引了3000名参与者。
还读:专家声称,iPhone零点击WiFi漏洞是有史以来最臭名昭著的黑客之一,无需交互
这是对向医疗测试端点发出的请求进行的高度严重的缺失身份验证检查。由于其严重性,它可以允许黑客成功地从医学测试目录中请求包含敏感文档和用户数据的文件。
这一缺陷可能会导致一种潜在的机制,可以在此过程中获取患者的检测结果。
OpenClinic的文件上传漏洞
在医疗平台上还发现了另一个缺陷。这是一个不安全的文件上传漏洞。此问题可能允许经过身份验证的攻击者在应用服务器上实现远程代码执行(RCE)。一旦他们创建了RCE,他们现在就可以访问敏感信息,安装恶意软件,并升级权限。
到目前为止,OpenClinic还没有发布任何更新,如果他们正在修补新发现的缺陷。不同的黑客可以通过将恶意文件上传到“/openclinic/medical/test_new.php”端点来利用该漏洞。它不限制可以安装的文件类型。研究人员还尝试了这个漏洞,并成功地发送了一个包含简单PHP web shell的文件。
更多关于其他平台或应用程序安全漏洞的新闻更新,请随时关注TechTimes。万博体育登录首页
相关文章:Turla Bacdoor恶意软件组织2017年入侵了布兰妮的Instagram,现在目标是欧洲外交部
本文归TechTimes所有。万博体育登录首页
写的:朱利亚诺·德·莱昂.
