Elektronik Sağlık Kayıtları , Yönetişim ve Risk Yönetimi , Sağlık
Açık Kaynaklı Elektronik Sağlık Kayıtları Yazılımı İçin Yama Mevcuttur
Marianne Kolbasuk McGee (SağlıkBilgisi) •
31 Ocak 2023
Açık kaynaklı bir elektronik sağlık kaydının arkasındaki kâr amacı gütmeyen kuruluş, saldırganların hasta verilerini çalmasına ve potansiyel olarak bir kuruluşun tüm BT altyapısını tehlikeye atmasına olanak verebilecek üçlü güvenlik açığını gideren bir yama yayınladığını söylüyor.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Kendisini “temiz kod” için bir platform olarak tanıtan bir şirket olan Sonar’daki güvenlik araştırmacıları, saldırganların 7.0.0’ın altındaki OpenEMR sürümlerini çalıştıran sunucularda kod yürütmek için zincirleme yapabilecekleri üç güvenlik açığı tespit ettiklerini söylüyorlar.
Güvenlik açığı, setup.php
senaryo. Sonar tarafından hazırlanan bir rapor, başarılı bir kurulumdan sonra OpenEMR yükleyicisinin kendisini otomatik olarak silmediğini söylüyor. OpenEMR Proje Yöneticisi Brady Miller, Information Security Media Group’a “son birkaç yıldır tüm yamalar bu komut dosyasını kaldırıyor ve tüm aşağı akış liman işçileri ve bulut teklifleri bu komut dosyasını kaldırıyor” diyor.
Miller, “Bununla birlikte, OpenEMR topluluğu bunun hala kritik bir güvenlik açığı olduğunu düşünüyordu, bu nedenle derhal ele alındı ve düzeltildi,” diye ekliyor Miller.
OpenEMR’nin geçmişi yaklaşık 2002 yılına dayanmaktadır ve geliştiriciler bunu yıllar boyunca sürdürmüştür. ABD hükümeti tarafından ONC Tam Gezici EHR olarak onaylanmıştır. Kullanım rakamlarına ulaşmak zordur ve Amerika Birleşik Devletleri’ndeki kurulum tabanı muhtemelen küçük kliniklerle sınırlıdır.
Sağlık BT pazarını takip eden KLAS Research, Information Security Media Group’a açık kaynaklı elektronik tıbbi kayıtların kurulum oranları hakkında veriye sahip olmadığını, çünkü “veri toplamamız veya değerlendirmemiz için yeterince büyük bir yazılım olmadıklarını” söyledi. .” KLAS’ın 2022 raporunda belirttiğine göre, özel sektöre ait Epic Systems Corp., ABD akut bakım hastaneleri arasında en fazla EHR kurulumuna sahip ve toplam pazar payının yaklaşık üçte birini elinde tutuyor.
Miller, OpenEMR’nin ayda 3.000’den fazla indirildiğini söylüyor ve dünya çapında 200 milyondan fazla hastaya hizmet veren 100.000’den fazla tıbbi sağlayıcının OpenEMR kullandığını tahmin ediyor. Açık kaynaklı yazılım 34 dilde mevcuttur.
Sonar, tespit ettiği güvenlik açıklarının şunlar olduğunu söylüyor:
- Kimliği doğrulanmamış rasgele dosya okuma;
- Kimliği doğrulanmış yerel dosya ekleme;
- Kimliği doğrulanmış yansıyan XSS.
OpenEMR, güvenlik açıklarını gideren 7.0.0 sürümünü Kasım ayında yayınladı.
Sonar, yalnızca kimliği doğrulanmamış rastgele dosya okuma kusurunun, kimliği doğrulanmamış saldırganların sahte bir MySQL sunucusu aracılığıyla bir OpenEMR örneğinden sertifikalar, parolalar, belirteçler ve yedekler dahil dosyaları okumasına izin verdiğini söylüyor.
Önceki Sayılar
Sonar bulguları, araştırmacılar tarafından OpenEMR’de tanımlanan ilgili güvenlik açıklarının ilk seti değildir. 2018’de Londra merkezli güvenlik araştırma firması Project Insecurity, OpenEMR’de yaklaşık iki düzine zayıflık tespit etti.
OpenEMR, Project Insecurity raporunu halka açık bir şekilde yayınlamadan önce güvenlik açıklarını gidermek için yamalar yayınladı (bakınız: Sayısız OpenEMR Güvenlik Kusuru Bulundu; En Çok Yamalı).
Gizlilik ve güvenlik danışmanlığı tw-Security’nin baş danışmanı Keith Fricke, OpenEMR’yi içeren güvenlik açıklarının, sağlık hizmetlerinde diğer açık kaynaklı yazılımların kullanımını içeren benzer güvenlik sorunlarına da ışık tuttuğunu söylüyor.
Fricke, “Çoğu açık kaynaklı olan bir veya daha fazla Linux türünün kullanımı, sağlık kuruluşlarında uygulamalar için şirket içi veya uzaktan barındırılan bir platform olarak oldukça yaygındır” diyor ve açık kaynaklı yazılım bakımının genellikle hataları düzelten ve özellik güncellemeleri sağlayan insanlardan oluşan bir topluluk.
“Bu tür güncellemeler, ticari yazılımlarla aynı aciliyet veya amaca uygun olarak yayınlanmayabilir” diyor. “Bir güvenlik açığı haberi, bu savunmasız sistemleri hedef almaya başlayabilecek suçluların dikkatini çekebilir.”