Une douzaine de vulnérabilités ont été trouvées dans OpenClinic GA, un système de gestion hospitalière open source populaire, y compris des failles qui peuvent être exploitées pour accéder à des informations sensibles ou installer des logiciels malveillants sur le serveur d’hébergement.

OpenClinic GA est décrit comme un «système intégré de gestion des informations hospitalières couvrant la gestion des données administratives, financières, cliniques, de laboratoire, de radiographie, de pharmacie, de distribution de repas et autres». Le produit est utilisé dans le monde entier et il a été téléchargé près de 120 000 fois depuis SourceForge.

Brian Hysell, consultant senior au Synopsys Software Integrity Group, a découvert que le logiciel est affecté par une douzaine de vulnérabilités, dont la plupart ont été classées comme critiques ou de gravité élevée en fonction de leur score CVSS. Les failles peuvent être exploitées pour contourner les contrôles d’accès et les protections de compte, obtenir des informations sensibles, télécharger et exécuter des fichiers arbitraires et exécuter du code ou des commandes arbitraires.

La U.S.Cybersecurity and Infrastructure Security Agency (CISA) a publié la semaine dernière un avis décrivant les problèmes identifiés par Hysell.

Le chercheur a dit SecurityWeek qu’il a signalé ses conclusions au fournisseur, via ICS-CERT, en août 2018. Il dit qu’il n’a pas communiqué directement avec le développeur, qui a déclaré à ICS-CERT en mars 2019 que la plupart des vulnérabilités avaient été corrigées dans la dernière version. Cependant, les communications avec le développeur étaient apparemment médiocres et on ne sait pas exactement quels défauts ont été corrigés.

Hysell a expliqué que plusieurs des vulnérabilités pouvaient être enchaînées pour permettre à un attaquant ayant accès à l’application via un navigateur Web de mener diverses activités, notamment pour afficher ou modifier le contenu des bases de données (y compris les données des patients), ou installer des logiciels malveillants sur le serveur hébergeant OpenClinic GA, qui peut permettre à l’attaquant de pénétrer plus profondément dans le réseau de l’organisation ciblée.