พบช่องโหว่ที่เป็นอันตรายบน Philips TASY EMR ที่อาจนำไปสู่การเปิดเผยข้อมูลผู้ป่วย

Philips Tasy EMR เป็นโซลูชันด้านการดูแลสุขภาพแบบบูรณาการที่จะช่วยให้สามารถจัดการกระบวนการทางคลินิก องค์กร และการบริหาแบบรวมศูนย์ ซึ่งรวมถึงการวิเคราะห์ การเรียกเก็บเงิน การจัดการสินค้าคงคลัง และความต้องการสำหรับใบสั่งยา และมีการใช้งานโดยสถาบันด้านสุขภาพมากกว่า 950 แห่ง ซึ่งส่วนใหญ่อยู่ในแถบละตินอเมริกา

สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เตือนถึงช่องโหว่ที่สำคัญที่จะส่งผลกระทบต่อระบบเวชระเบียนอิเล็กทรอนิกส์ (EMR) ของ Philips Tasy ที่อาจถูกใช้ในการโจมตีจากแฮกเกอร์ เพื่อดึงข้อมูลที่ความสำคัญของผู้ป่วยออกจากฐานข้อมูลได้

CISA ได้กล่าวในการแถลงการณ์ทางการแพทย์ที่เผยแพร่ออกมาเมื่อวันที่ 4 พฤศจิกายน 2564 ว่าการใช้ประโยชน์จากช่องโหว่เหล่านี้ หากสำเร็จอาจส่งผลให้ข้อมูลที่เป็นความลับของผู้ป่วยถูกเปิดเผย หรือดึงออกจากฐานข้อมูลของ Tasy และถูกเข้าถึงโดยไม่ได้รับอนุญาต หรือถูกโจมตีทำให้ระบบไม่สามารถให้บริการได้

ช่องโหว่ SQL Injection CVE-2021-39375 และ CVE-2021-39376 จะส่งผลกระทบต่อ Tasy EMR HTML5 3.06.1803 และเวอร์ชั่นก่อนหน้า และอาจจะอนุญาตให้แฮกเกอร์แก้ไขคำสั่งบนฐานข้อมูล SQL จนส่งผลให้เกิดการเข้าถึงได้โดยไม่ได้รับอนุญาต การเปิดเผยข้อมูลที่มีความสำคัญ และแม้แต่การถูกสั่งรันคำสั่งที่เป็นอันตรายได้

CVE-2021-39375 (CVSS:8.8) มีผลกระทบโดยจะมีการอนุญาตให้มีการทำ SQL Injection ผ่าน WAdvanceFilter/getDimensionItemsByCode FilterValue parameter

CVE-2021-39376 (CVSS:8.8) มีผลกระทบโดยจะมีการอนุญาตให้มีการทำ SQL Injection ผ่าน CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST or CD_USUARIO_CONVENIO parameter

อย่างไรก็ตาม เป็นที่น่าจับตามองว่าก่อนที่จะใช้ประโยชน์จากช่องโหว่เหล่านี้ ผู้โจมตีจะต้องมีข้อมูลประจำตัวที่อนุญาตให้เข้าถึงระบบที่ได้รับผลกระทบอยู่แล้ว และทาง Philips เอง ได้บอกว่าในเวลานี้ยังไม่ได้รับรายงานเกี่ยวกับการใช้ประโยชน์จากช่องโหว่เหล่านี้

คำแนะนำ

ผู้ให้บริการด้านการดูแลสุขภาพทั้งหมดที่ใช้ระบบ EMR ที่มีช่องโหว่ควรรีบทำการอัพเดทเป็นเวอร์ชั่น 3.06.1804 หรือสูงกว่านั้นโดยเร็วที่สุด เพื่อป้องกันการถูกโจมตีจากช่องโหว่ดังกล่าว

ที่มา: thehackernews