Errores de software ponen 100 millones de registros de salud en riesgo

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

Un equipo de siete investigadores ha descubierto más de 20 vulnerabilidades de seguridad en OpenEMR, una aplicación de código abierto utilizada en todo el mundo para la administración electrónica de los registros médicos de casi 100 millones de personas. De acuerdo con los principios de divulgación responsable, los investigadores de Project Insecurity notificaron los agujeros de seguridad a los desarrolladores de OpenEMR con mucha anticipación antes de hacer públicos sus hallazgos. Esto permitió a los desarrolladores lanzar una actualización el 20 de julio que resuelve los errores.

De acuerdo con sus hallazgos, los investigadores no confiaron en ninguna herramienta de prueba automatizada para identificar los agujeros de seguridad, la mayoría de los cuales se consideraron graves. "Las vulnerabilidades reveladas en este informe se encontraron al revisar manualmente el código fuente y modificar las solicitudes con Burp Suite Community Edition, y no se usaron escáneres automáticos ni herramientas de análisis de código fuente", señalan.

Entre los errores encontrados, destaca uno que permitía una derivación fácil de la autenticación del portal del paciente. "Un usuario no autenticado puede evitar el inicio de sesión del portal del paciente simplemente accediendo a la página de registro y modificando la url solicitada para acceder a la página deseada", se lee en el informe. La vulnerabilidad de omisión de autenticación no solo abre la aplicación web a la inyección SQL, sino que también le da al atacante la posibilidad de ver y alterar los registros de una persona.

Además, el equipo descubrió una gran cantidad de fallos de ejecución de código remota y múltiples instancias de vulnerabilidades de inyección SQL. OpenEMR también presentaba vulnerabilidades de eliminación, lectura y escritura arbitrarias, una vulnerabilidad de carga de archivos no restringida, así como varios errores de falsificación de solicitudes cross-site que permitían la ejecución remota de código.