Vulnérabilités dans OpenClinic

De multiples vulnérabilités ont été découvertes dans OpenClinic GA, logiciel de gestion d’hôpital. Un attaquant distant non-authentifié ou disposant d’un niveau de privilèges basique peut obtenir des informations sensibles, écrire des fichiers arbitraires sur le système de fichiers, ainsi qu’exécuter du code, des commandes et des requêtes SQL arbitraires.

CVE-2020-14485 [Score CVSS v3 : 9.4] : Une vulnérabilité de type contournement d’authentification a été découverte dans OpenClinic GA. Un attaquant distant non-authentifié peut établir une session limitée permettant cependant l’accès à des fonctions administratives (telles que l’exécution de requêtes SQL arbitraires).

CVE-2020-14484, CVE-2020-14494 [Score CVSS v3 : 7.3] : Une vulnérabilité a été découverte dans OpenClinic GA. Un attaquant distant non-authentifié peut contourner les politiques de verrouillage de compte en cas d’un trop grand nombre d’échecs d’authentification. Une attaque par force brute sur les mots de passe des comptes utilisateurs est donc par conséquent possible.

CVE-2020-14491 [Score CVSS v3 : 8.3] : Une vulnérabilité liée à un manquement de vérification d’autorisations a été découverte dans OpenClinic GA. Un attaquant distant authentifié avec un compte utilisateur aux permissions basiques peut exécuter des requêtes SQL arbitraires nécessitant normalement un niveau de privilèges administratif.

CVE-2020-14493 [Score CVSS v3 : 8.8] : Une vulnérabilité de type exécution de commandes arbitraires a été découverte dans OpenClinic GA. Un attaquant distant authentifié avec un compte utilisateur aux permissions basiques peut exécuter des commandes arbitraires via une requête SQL menant à l’écriture de fichiers arbitraires sur le système de fichiers, ces derniers pouvant par la suite être exécutés par le logiciel.

CVE-2020-14488 [Score CVSS v3 : 8.8] : Une vulnérabilité de type écriture de fichiers arbitraires a été découverte dans OpenClinic GA. Un attaquant distant authentifié avec un compte utilisateur aux permissions basiques peut écrire un fichier arbitraire sur le système de fichiers via une requête SQL spécialement conçu. Le fichier en question peut ensuite être exécuté par le serveur, résultant en l’exécution de commandes ou de code arbitraire.

CVE-2020-14490 [Score CVSS v3 : 8.8] : Une vulnérabilité de type “path traversal” a été découverte dans OpenClinic GA. Un attaquant distant disposant d’un faible niveau de privilèges peut obtenir des informations sensibles contenues dans un fichier arbitraire du système, voire écrire des fichiers à des emplacements arbitraires pouvant potentiellement être exécutés par le logiciel.

CVE-2020-14495 [Score CVSS v3 : 9.8] : Une vulnérabilité liée à l’utilisation de logiciels tierces non-maintenus a été découverte dans OpenClinic GA. Un attaquant distant non-authentifié peut profiter de vulnérabilités découvertes dans certains logiciels utilisés par OpenClinic, pouvant mener jusqu’à l’exécution de code arbitraire.

CVE-2020-14487 [Score CVSS v3 : 9.4] : Une vulnérabilité a été découverte dans OpenClinic GA. Un attaquant distant non-authentifié peut exécuter des commandes arbitraires via l’utilisation d’un compte utilisateur caché activé par défaut dans le logiciel.

Informations
+

Risques

  • Fuite de données sensibles

  • Ecriture de fichiers arbitraires à des emplacements arbitraires

  • Exécution de requêtes SQL arbitraires

  • Exécution de commandes arbitraires

  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : 9.8 maximum

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

  • OpenClinic GA (aucun numéro de version spécifié)

CVE

  • CVE-2020-14485

  • CVE-2020-14484

  • CVE-2020-14494

  • CVE-2020-14491

  • CVE-2020-14493

  • CVE-2020-14488

  • CVE-2020-14490

  • CVE-2020-14495

  • CVE-2020-14487


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour OpenClinic GA vers la dernière version disponible. La correction des vulnérabilités mentionnées n’est cependant pas confirmée. Il est ainsi recommandé par us-cert.gov de:

    • S’assurer de respecter le principe de moindre privilèges vis-à-vis des comptes utilisateur

    • Limiter l’exposition réseau du logiciel, et considérer une utilisation de VPN si celle-ci se révèle nécessaire

Solution de contournement

  • CVE-2020-14487 : désactiver le compte utilisateur caché dans les paramètres du logiciel