Las fallas críticas en Philips TASY EMR pueden exponer los datos del paciente

09:46 16/11/2021 | 5 Lượt xem

Philips TASY EMR

La Agencia de Infraestructura y Seguridad Cibernética de los Estados Unidos (CISA) advierte sobre vulnerabilidades críticas que afectan Philips Tasy Electronic Medical Records System (EMR) que pueden ser explotados por agentes de amenazas remotos para extraer datos personales confidenciales de las bases de datos de pacientes.

“La explotación exitosa de estas vulnerabilidades podría resultar en la exposición o extracción de datos confidenciales del paciente de la base de datos Tasy, dando acceso no autorizado o creando una condición de denegación de servicio”, dijo CISA en un boletín médico publicado el 4 de noviembre.

Utilizado por más de 950 instituciones de salud principalmente en América Latina, Philips Tasy EMR fue diseñado como una solución informática de salud integrada que permite la gestión centralizada de procesos clínicos, organizativos y administrativos, incluida la incorporación de análisis, facturación y gestión de inventario y suministros para recetas médicas. .

Copias de seguridad automáticas de GitHub

Las fallas de inyección de SQL (CVE-2021-39375 y CVE-2021-39376) afectan a Tasy EMR HTML5 3.06.1803 y versiones anteriores y esencialmente pueden permitir que un atacante modifique los comandos de la base de datos SQL, lo que resulta en acceso no autorizado, exposición de información confidencial e incluso la ejecución de comandos del sistema arbitrarios. Ambos problemas de seguridad se calificaron con 8.8 sobre 10 en severidad:

  • CVE-2021-39375 (puntuación CSS: 8.8): el producto afectado permite la inyección SQL a través del parámetro WAdvancedFilter / getDimensionItemsByCode FilterValue.
  • CVE-2021-39376 (Puntaje CSS: 8.8): El producto afectado permite la inyección SQL a través del parámetro CorCad_F2 / executeConsultaEspecifico IE_CORPO_ASSIST o CD_USUARIO_CONVENIO.
Evite las filtraciones de datos

Sin embargo, es importante tener en cuenta que para aprovechar estas vulnerabilidades, el actor de la amenaza ya debe tener las credenciales que otorgan acceso al sistema afectado.

“Hasta la fecha, Philips no ha recibido informes de explotaciones de estas vulnerabilidades o incidentes de uso clínico que hayamos podido asociar con este problema”, señaló la compañía holandesa en un comunicado. “El análisis de Philips ha demostrado que es poco probable que esta vulnerabilidad afecte el uso clínico. El análisis de Philips también indica que no hay ningún riesgo esperado para el paciente debido a este problema”.

Se recomienda a todos los proveedores de atención médica que utilicen una versión vulnerable del sistema EMR que actualicen a la versión 3.06.1804 o posterior lo antes posible para evitar una posible explotación en el mundo real.

Related Posts

lên đầu trang