بقلم توماس فولتين، الكاتب في أمن المعلومات لدي شركة إسيت.
اكتشف فريق من سبعة باحثين أكثر من 20 نقطة ضعف أمنية فيOpenEMR ، وهو تطبيق مفتوح المصدر يستخدم في جميع أنحاء العالم للإدارة الإلكترونية للسجلات الطبية لما يقرب من 100 مليون شخص.
وأخبر الباحثون في Project Insecurity مطوري تطبيق OpenEMR بالثغرات الأمنية مسبقاً قبل تقديم نتائج التقرير العام. مما سمح للمطورين بإصدار تحديث في 20 يوليو (5.0.1.4) يعمل على تصحيح الأخطاء. وتم توضيح نتائج الفريق بالتفصيل في تقرير الثغرات الأمنية المذكور ووصف الثغرات في الإصدار السابق من البرنامج (5.0.1.3).
ومن المثير للإهتمام أن الباحثين لم يعتمدوا على أي أدوات إختبار تلقائية لتحديد الثغرات الأمنية التي اعتبرت معظمها خطرة . و ذكر التقرير: ” نقاط الضعف التي تم الكشف عنها في هذا التقرير تمت من خلال مراجعة شفرة المصدر يدويًا وتعديل الطلبات بإستخدام أداة تدقيق الإختراقاتBurp Suite Community Edition ، ولم يتم إستخدام أي أدوات فحص آلية أو أدوات تحليل شفرة المصدر”.
و الأكثر أهمية أنه من بين الخلل البرمجي واحد يسمح بمرور سهل لبوابة المصادقة للمستخدم. وكتب في التقرير أيضا :”يمكن لمستخدم غير مصادق تجاوز بوابة تسجيل الدخول للمستخدم عبر الإنتقال إلى صفحة التسجيل وتعديل عنوان url المطلوب للوصول إلى الصفحة المطلوبة”.
وفي حديثه إلى DataBreaches.net، صرح “كودي زاخرياس” رئيس منظمة “ريد تيم”: “تجاوزت الثغرة الأمنية جميع الثغرات التي اكتشفها فريقنا لأنها لا تفتح فقط تطبيق الويب بإدخال SQL ، ولكنها أيضًا تمنح المهاجم القدرة على العبث و إستعراض سجلات الشخص مما يؤثر بشكل كامل على الخصوصية و السلامة المتعلقة بالسجل الطبي الإلكتروني “.
و اكتشف أيضاً الفريق عددًا كبيرًا من عيوب تنفيذ التعليمات البرمجية عن بُعد ومثيلات متعددة من الثغرات الأمنية في إدخال SQL. وترك التطبيق OpenEMR الباب مفتوحًا للهجوم من خلال نقاط الضعف العشوائية في القراءة والكتابة والحذف ، وعدم قابلية تحميل الملفات الغير مقيدة، وأيضا عن طريق مواقع جانبية مزورة و تحتوي على خلل و تسمح بتنفيذ التعليمات البرمجية عن بُعد.
وأبان “مات تيلفر” الرئيس التنفيذي لشركة ” Project Insecurity” في تصريحاته لموقع DataBreaches.net عن سبب إختيارهم لفهم و التدقيق لرمز OpenEMR: “لقد رأينا مؤخرا الكثير من الإنتهاكات المتعلقة بالخدمات الطبية في وسائل الإعلام. مما جعلنا نفكر في عملية التداول للسجلات الطبية لهؤلاء الذين يتعاملون عبر الوسائل الإلكترونية والآثار الأمنية المتعلقة بها، لذلك قررنا النظر في أنظمة EMR / EHR. وبعد بعض البحث عبر إستخدام جوجل وجدنا أن OpenEMR هو تطبيق السجلات الطبية الإلكتروني المفتوح المصدر الأكثر إنتشارًا على الإنترنت. وكونه مصدر مفتوح يعني أنه يمكننا إختباره دون أي آثر قانوني سلبي “.
و أعرب ” برادي ج ميلر” الرئيس التنفيذي لشركة OpenEMR.org عن تقديره لمبادرة Project Insecurity، وقال: “إن مجتمع OpenEMR ممتن للغاية لتقرير Project Insecurity، الذي أدى إلى تحسن مستوى الأمن في OpenEMR. ويعد الإبلاغ عن الثغرات الأمنية قيمة لا تقدر بثمن بالنسبة OpenEMR ولجميع المشروعات مفتوحة المصدر “.
و ينصح لمؤسسات الرعاية الصحية التي تستخدم OpenEMR بتحديث أنظمتها إذا لم تكن قد فعلت ذلك بالفعل.
