OpenEMR corrige une vingtaine de vulnérabilités sur sa solution

OpenEMR est un système de gestion électronique des dossiers de santé open source utilisé par plusieurs milliers de prestataires de santé dans le monde entier. Aux États-Unis, ce système est utilisé par environ 5 000 cabinets médicaux et petits prestataires de santé, et par plus de 15 000 établissements de santé dans le monde entier. La base de données regroupe les informations de plus de 100 millions de patients.

Récemment, l'organisation de recherche informatique basée à Londres, Project Insecurity, a découvert une vingtaine de vulnérabilités dans le code source de la solution logicielle qui pourraient potentiellement être exploitées pour accéder à des fichiers et à des données de santé à caractère personnel de patients. Elle a contacté l’éditeur le 7 juillet 2018 et lui a donné un délai d'un mois avant divulgation publique des vulnérabilités. Les failles ont été corrigées dans le temps imparti.

L'une des vulnérabilités les plus graves découvertes permettait à un attaquant de contourner l'authentification sur le portail patient. La vulnérabilité était simple et ne nécessitait pratiquement aucune compétence technique. Il suffisait d’accéder à la page d'inscription et de modifier l'URL dans la barre d’adresse pour pouvoir accéder à la page souhaitée. En exploitant cette faille, il était ainsi possible de visualiser et de modifier les dossiers des patients et de compromettre potentiellement tous les enregistrements de la base de données. Par ailleurs, Project Insecurity a également découvert neuf failles permettant de procéder à des injections SQL, quatre failles permettant d’exécuter du code à distance, trois vulnérabilités permettant la divulgation d'informations sans être authentifié, une faille permettant de télécharger des fichiers sur le serveur ainsi que des accès à certaines fonctionnalités d'administration sans être authentifié.

Les vulnérabilités ont été identifiées grâce à une analyse manuelle du code ainsi qu’à une analyse dynamique des requêtes de l'application. Aucun outil d'analyse de code source n'a été utilisé.

Project Insecurity a publié dans ce document le détail des vulnérabilités trouvées, avec, pour chacun d'elles, la portion de code vulnérable et une POC (preuve de concept).

Recommandations
+

Correctifs

  • Les vulnérabilités sont corrigées par le patch 4 disponible ici.

Solution de contournement

  • Il n’existe pas actuellement de solutions de contournement.