L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) met en garde contre des vulnérabilités critiques affectant Système de dossiers médicaux électroniques (DME) Philips Tasy qui pourraient être exploitées par des acteurs malveillants distants pour extraire des données sensibles de patients à partir de bases de données de patients.
« L’exploitation réussie de ces vulnérabilités pourrait entraîner l’exposition ou l’extraction de données confidentielles des patients de la base de données de Tasy, donner un accès non autorisé ou créer une condition de déni de service », CISA mentionné dans un bulletin médical publié le 4 novembre.
Utilisé par plus de 950 établissements de santé principalement en Amérique latine, Philips Tasy EMR est conçu comme un informatique de santé intégrée solution qui permet une gestion centralisée des processus cliniques, organisationnels et administratifs, y compris l’intégration de l’analyse, de la facturation et de la gestion des stocks et des approvisionnements pour les prescriptions médicales.
Les injection SQL failles — CVE-2021-39375 et CVE-2021-39376 — affectent Tasy EMR HTML5 3.06.1803 et versions antérieures, et pourraient essentiellement permettre à un attaquant de modifier les commandes de la base de données SQL, entraînant un accès non autorisé, l’exposition d’informations sensibles et même l’exécution de commandes système arbitraires. Les deux problèmes de sécurité ont été classés 8,8 sur 10 en termes de gravité :
- CVE-2021-39375: Le produit concerné permet l’injection SQL via le paramètre WAdvancedFilter/getDimensionItemsByCode FilterValue.
- CVE-2021-39376: Le produit concerné permet l’injection SQL via le paramètre CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST ou CD_USUARIO_CONVENIO.
Cependant, il convient de noter que tirer parti de ces vulnérabilités nécessite que l’acteur de la menace soit déjà en possession des informations d’identification qui autorisent l’accès au système affecté.
« Pour le moment, Philips n’a reçu aucun rapport d’exploitation de ces vulnérabilités ou d’incidents d’utilisation clinique que nous avons pu associer à ce problème », a déclaré la société néerlandaise. c’est noté dans un avis. « L’analyse de Philips a montré qu’il est peu probable que cette vulnérabilité ait un impact sur l’utilisation clinique. L’analyse de Philips indique également qu’il n’y a aucune attente de risque pour le patient en raison de ce problème. »
Il est recommandé à tous les fournisseurs de soins de santé utilisant une version vulnérable du système de DME de mettre à jour vers la version 3.06.1804. ou plus tard dès que possible pour éviter une exploitation potentielle dans le monde réel.