Docutrac医疗软件是违规风险,WARK7
Docutrac生产的Quicdoc和Office治疗套件包含安全漏洞,可能允许攻击者控制患者数据,警告安全公司Rapid7。
该软件用于精神卫生设施,成瘾诊所和家庭中心等设置,以跟踪患者的记录和计费,并根据Docutrac根据5,000个站点安装。
这意味着成功利用安全漏洞可能会暴露敏感的患者信息,包括社会安全号码,药物,治疗笔记,信用卡数据和银行详细信息。
根据Rapid7,软件包含许多未公开到最终用户的静态帐户,并且在医疗记录软件的所有安装中相同。
QuicDoc和Office治疗均通常作为单个捆绑安装,是数据库驱动的应用程序,它使用后端Microsoft SQL Server数据库服务器由DTISQLINSTALLER.EXE从软件供应商中下载。
典型的内部部署安装是一个中央服务器和连接到此数据库的多个工作站。
一名独立研究人员发现了两项安全漏洞,他向RAPID7报告了协调披露。
第一个漏洞(CVE-2018-5551)涉及硬编码凭证,第二个(CVE-2018-5552)涉及静态,硬编码的加密盐,它应该是用于修改密码的随机数据哈希。
研究人员发现,DTISQLINSTALLER.EXE安装应用程序创建三个帐户,该帐户具有在.NET Framework安装程序中硬编码的数据库的重要访问,并通过静态分析发现。
“受影响产品的最终用户既不通知这些账户的存在,也不能够改变这些帐户密码,而不会影响应用程序的功能,”Rapid7在博客文章中的研究总监写了TOD Beardsley。
“CVE-2018-5551是常见弱点列出的CWE-798的一个实例,使用硬编码凭据。他写道,这个漏洞的CVSSv3得分至关重要,“他写道。
研究人员发现,该申请依赖于[电子邮件保护] +和Pepper的静态,硬编码的加密盐,用于加密和解密例程。在.NET框架安装程序中发现了该盐,并通过静态分析发现。然而,研究人员尚未确定盐的加密数据。
“受影响产品的最终用户既不通知这种盐的存在也不是有机会将盐改变为位点定制值,”Beardsley说。
“CVE-2018-5552是常见弱点列出的CWE-760的一个例子,使用可预测的盐的单向哈希。这种漏洞的CVSSv3得分为2.9。“
由于应用程序依赖于网络连接的工作站来连接到后端数据库,因此可以由攻击者使用这些帐户来损害患者信息数据库,说Beardsley。
而且由于其中一个帐户是SQL Server系统管理员,他表示,可能具有SQL数据库管理知识的攻击者可以进一步危及主机操作系统。
为了解决漏洞,Beardsley表示,软件更新应确保为数据库帐户的密码是随机和唯一地生成的每个安装,也可以作为初始设置的一部分或作为安装后的步骤。
“这些密码又应存储在具有适当文件系统访问控制列表中的本地生成的配置文件中,”他说。
至于静态加密盐,Beardsley表示,也应该为每个安装动态生成这一点,并存储在本地控制的配置文件中而不是应用这些加密功能的数据库。
“在没有供应商提供的更新的情况下,该软件的用户应确保不受信任的用户通过网络ACL和防火墙规则无法连接到这些应用程序的数据库,”他说。
虽然Docutrac于2018年1月9日和通过电话和电子邮件的两次随后进行了两次通信的漏洞,但在3月14日之前没有发出软件更新,当时RAID7与漏洞一起公开。
Rapid7具有与软件和其他技术提供商合作的历史,以修复安全漏洞,并且是负责任披露的强大支持者,这意味着首先向供应商披露漏洞,以便在公开之前提供解决问题的机会。
但根据Beardsley的说法,安全研究人员的漏洞披露通常被认为是负灯。“它就像安全社区中的某个人告诉他们他们的宝宝是丑陋的,”他每周告诉电脑在2015年8月在拉斯维加斯的Def Con黑客会议采访中。
本周,基于以色列的CTS实验室的研究人员被指控在通知AMD后24小时内在AMD处理器中发现的超过十几个安全缺陷,不负责任的披露。
AMD缺陷的公开披露与披露TheSeltdownAstheCTECHIP漏洞的披露的方式进行了鲜明对比。
虽然道路上的这些缺陷是受影响的芯片制造商的收件人初步的公众,但他们已经有大约七个月来计划响应并准备安全更新。
Bug Bounty Platform Hackerone的漏洞协调技术方案经理Jon Bottarini的反应,CTS实验室已经提供了一个在野外发现软件或硬件弱点时不做的经典示例。
“负责任的披露应该是安全研究人员的主要指令,并且只有允许AMD 24小时在CTS实验室通知新闻之前,CTS站得更弊大于,”他说。
“当然,当他们在他们的软件或硬件中发现错误时,公司不应该是白帽黑客的批判性 - 他们应该感恩。但是,当荒谬肆无忌惮地处理时,你就会冒着白帽和企业界之间侵蚀信任的风险,这最终最终帮助了糟糕的演员。“
