Plusieurs vulnérabilités découvertes par les chercheurs dans le logiciel OpenEMR peuvent être exploitées par des pirates à distance pour obtenir des dossiers médicaux et compromettre l’infrastructure de santé.

OpenEMR est un logiciel de gestion open source conçu pour les organisations de soins de santé. L’application gratuite est très populaire et offre un large éventail de fonctionnalités pour la gestion des dossiers de santé et des cabinets médicaux.

Des chercheurs du fournisseur suisse de solutions de qualité de code et de sécurité SonarSource ont découvert plus tôt cette année qu’OpenEMR est affecté par quatre types de vulnérabilités qui affectent les serveurs utilisant le composant Patient Portal.

La liste des vulnérabilités comprend l’injection de commandes, les scripts intersites persistants (XSS), les autorisations d’API non sécurisées et l’injection SQL.

Le portail des patients permet aux organisations de soins de santé de permettre à leurs patients d’effectuer diverses tâches en ligne, telles que la communication avec les médecins, le remplissage de nouveaux formulaires d’inscription des patients, la prise de rendez-vous, les paiements et la demande de renouvellement d’ordonnances.

Cependant, les chercheurs de SonarSource ont déterminé que si le portail des patients est activé et accessible depuis Internet, un attaquant pourrait prendre le contrôle complet du serveur OpenEMR en enchaînant les vulnérabilités qu’il a trouvées.

Selon SonarSource, le portail des patients a sa propre interface API, qui peut être utilisée pour contrôler toutes les actions du portail. L’utilisation de cette API nécessite une authentification, mais les chercheurs ont trouvé un moyen de la contourner, leur permettant d’accéder aux données des patients et d’y apporter des modifications, ou de modifier les informations associées aux utilisateurs backend, tels que les administrateurs.

Un attaquant capable de modifier les données du compte administrateur peut exploiter la vulnérabilité XSS persistante pour injecter un code malveillant qui serait exécuté lorsque l’administrateur ciblé se connecte à son compte.

Le code JavaScript déclenché via la vulnérabilité XSS peut alors exploiter l’injection de commande …