Bricks Huisarts v2.3.12.94166 电子咨询中的可执行文件上传漏洞解析
背景
根据 Z-Cert.nl 的年度报告,医疗保健领域的勒索软件攻击是我们面临的最大威胁。报告提到,与个体诊所或专业人士相比,医疗保健提供商的供应商更常成为攻击目标(第16页)。
一个可能的解释是,如果黑客攻击一个供应商,影响可能更大,因为他们可能同时为多个客户提供服务。
荷兰初级医疗保健领域最大的供应商是那些构建我们电子健康记录(EHR)系统的公司。他们存储我们最机密的信息,并且通常是必须支持与大量其他系统集成的复杂应用程序。
今天,我们将看看是否能在这类系统中找到一个漏洞,来上传我们的可执行文件(一个模拟病毒)。这个攻击向量可能会引起勒索软件组织的兴趣,因为他们希望在其存储敏感数据的环境中运行他们的代码。他们利用此类漏洞来获得对系统的远程访问并加密文件,以便在后续阶段对受害者进行勒索。
协调漏洞披露政策
今天的供应商(Bricks Huisarts Tetra)有一个协调漏洞披露政策,这太棒了!参见 https://brickshuisarts.nl/security.txt 和 https://brickshuisarts.nl/security-policy.html
强烈建议发布这样的协调漏洞披露政策;它为发现漏洞时如何进行操作提供了明确的指导,并降低了道德黑客帮助他们的风险。
向你的医生上传恶意可执行文件
向医疗保健提供商发送恶意可执行文件的最快方式就是使用电子邮件。遗憾的是,医疗保健领域仍然使用这种媒介接收患者的信息。
“皮肤上有红斑吗?请发邮件给我们一张照片。”——医疗保健的现状
但是,当双击文件 bigredspot1.jpg.exe 时,谁受过培训能看出它是否是恶意的呢?归根结底,我们非常擅长检测由病毒感染引起的红斑,但不擅长检测含有病毒的恶意文件。
幸运的是,我们有一些应用程序可以让我们安全地与初级医疗保健提供商互动。Bricks Huisarts 就是这类应用之一,登录后,你可以向医生提问,并在必要时附加一个文件(图片)。但是,如果附加的文件是恶意可执行文件呢?接收我们可执行文件的系统是否会处理它,并在医生使用的应用程序中显示出来?
下图是医生在收到使用门户应用程序的客户问题时使用的仪表板。
请按回车键或点击以全尺寸查看图像。
请注意上面的“ClickYesSetup.exe”。它是附加在电子咨询中的文件。
如你所见,有一个 ClickYesSetup.exe 文件作为概念验证被附加。这可以是任何可执行文件,也可以是勒索软件组的有效载荷。如果我们点击该文件,它会愉快地运行这个可执行文件。
请按回车键或点击以全尺寸查看图像。
点击后,它就会启动上传的可执行文件。
是时候报告了。
结论
Tetra 存在漏洞,允许患者将可执行文件上传到 EHR 系统。每当医疗保健提供者在 EHR 系统内双击恶意文件时,就会造成风险。
Tetra 迅速修补了该漏洞并发布了新版本。这是一个恰当负责任的漏洞披露的完美范例!
讨论
有人可能会说,医生有责任不打开可能导致代码执行的文件。
这同样适用于电子邮件,不要打开奇怪的附件。归根结底,我们最大的挑战是用户双击网址和文件。风险意识非常重要。
一个可能的修复方法是检查文件的扩展名和实际文件内容,看其是否与给定的扩展名匹配。将该扩展名与允许列表(仅接受一些常规图像文件格式,如 JPG 和 PNG)进行匹配。如果不匹配,直接拒绝文件上传。
请记住,每个人都会犯错;关键在于你如何处理它们。透明即是信任。
他们支持我的道德研究;努力使医疗保健供应商更加安全。多亏了他们,我才能分享这个故事,让我们都能从中学习。这是强大领导力的一个很好的例子。
该行业的其他公司呢,他们是否也有这种透明度的水平?如果没有,他们需要什么才能达到那种成熟度水平?
时间线
- 10–01–2024 — 与 Bart(他可以访问该系统)合作,他确认了 Tetra 中的漏洞。他联系了他工作单位的 IT 联系人,后者联系了 Tetra 报告该漏洞。
- 06–03–2024 — 我联系了 Tetra,以检查漏洞是否已修复(未包含在先前的沟通中),Tetra 确认了修复并允许我继续进行负责任的披露。
- 10–03–2024 — 我撰写了报告并与 Tetra 和 Bart 分享了草案(我请求 Bart 是否能给我一些他在患者门户中确切上传文件位置的截图)
- 17–03–2024 — 将本博客的更新发送给 Tetra,请求检查内容。
- 20–03–2024 — 发布了这份报告。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号