Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y de análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Obtener más información

Errores de software ponen 100 millones de registros de salud en riesgo

  • Vulnerabilidades

HPE sanidad

Entre las vulnerabilidades encontradas en OpenEMR había una que permitía una derivación fácil de la autenticación del portal del paciente, que no solo abre la aplicación web a la inyección SQL, sino que también le da al atacante la posibilidad de ver y manipular los registros.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

Un equipo de siete investigadores ha descubierto más de 20 vulnerabilidades de seguridad en OpenEMR, una aplicación de código abierto utilizada en todo el mundo para la administración electrónica de los registros médicos de casi 100 millones de personas. De acuerdo con los principios de divulgación responsable, los investigadores de Project Insecurity notificaron los agujeros de seguridad a los desarrolladores de OpenEMR con mucha anticipación antes de hacer públicos sus hallazgos. Esto permitió a los desarrolladores lanzar una actualización el 20 de julio que resuelve los errores.

De acuerdo con sus hallazgos, los investigadores no confiaron en ninguna herramienta de prueba automatizada para identificar los agujeros de seguridad, la mayoría de los cuales se consideraron graves. "Las vulnerabilidades reveladas en este informe se encontraron al revisar manualmente el código fuente y modificar las solicitudes con Burp Suite Community Edition, y no se usaron escáneres automáticos ni herramientas de análisis de código fuente", señalan.

Entre los errores encontrados, destaca uno que permitía una derivación fácil de la autenticación del portal del paciente. "Un usuario no autenticado puede evitar el inicio de sesión del portal del paciente simplemente accediendo a la página de registro y modificando la url solicitada para acceder a la página deseada", se lee en el informe. La vulnerabilidad de omisión de autenticación no solo abre la aplicación web a la inyección SQL, sino que también le da al atacante la posibilidad de ver y alterar los registros de una persona.

Además, el equipo descubrió una gran cantidad de fallos de ejecución de código remota y múltiples instancias de vulnerabilidades de inyección SQL. OpenEMR también presentaba vulnerabilidades de eliminación, lectura y escritura arbitrarias, una vulnerabilidad de carga de archivos no restringida, así como varios errores de falsificación de solicitudes cross-site que permitían la ejecución remota de código.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos