医療記録ソリューションおよび医療管理システムとして数百の病院で使用されているPhilips Tasy EMRには、2つの重大なSQLインジェクションの脆弱性があることがわかりました。
この脆弱性は、CVE-2021-39375およびCVE-2021-39376として追跡され、CVSS v3での深刻度スコアはいずれも8.8となっています。
Philips Healthcare Tasy Electronic Medical Record (EMR) 3.06では、WAdvancedFilter/getDimensionItemsByCode FilterValueパラメータを介したSQLインジェクションが可能です。
Philips Healthcare Tasy Electronic Medical Record (EMR) 3.06では,CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSISTまたはCD_USUARIO_CONVENIOパラメータを介したSQLインジェクションが可能です。
これらの脆弱性は、SQLインジェクションの脆弱性であり、SQLコマンドにおける特殊文字の不適切なエスケープに依存しています。
影響を受けるのはTasy EMR HTML5 3.06.1803以前のバージョンのため、ヘルスケアスイートを使用しているすべての組織はバージョン3.06.1804以降にアップグレードするよう求められています。
Tasy EMR HTML5は、アルゼンチン、ブラジル、コロンビア、メキシコ、ドミニカ共和国を中心とした多くの公的・私的医療機関で広く導入されているため、CISAも同製品に関するアドバイザリーを発表しています。
悪意のある活動の疑いを観測した企業・病院は、確立された内部手順に従い、調査結果をCISAに報告し他のインシデントとの相関関係を追跡する必要があります
Tasy EMRは世界中の約1,000の医療機関で使用されており、ラテンアメリカでは代表的なインフォマティクスソリューションとなっています。
医療現場でのデータ漏洩
Tasy EMR製品は、機密性の高い医療記録、患者の治療履歴、医療用品の詳細、財務・請求情報、一般的な病院管理データを保持しています。
機密性の高いデータを保持する中心的な存在であるため、これが漏洩すると多くの人が被害を受けることになります。
特に、病院がデータ処理への同意を得ずに緊急患者の治療を余儀なくされることが多い場合、この問題は深刻となります。
これらのデータを保護する責任は、限られたリソースで業務を遂行しなければならない公的機関やパンデミックが継続して発生している厳しい状況の中では、しばしば負担となります。
このような理由から、ランサムウェアのグループは近年医療分野に焦点を当てており、ファイルを盗むだけで恐喝プロセスを開始することができるとされています。
セキュリティ対策
Tasy EMR HTML5をバージョン3.06.1804以降にアップデートし、両CVEを修正した最新のサービスパックを適用することをお勧めします。
- すべての制御システム機器やシステムのネットワークへの露出を最小限にし、インターネットからアクセスできないようにする。
- 制御システムのネットワークおよびリモートデバイスをファイアウォールの内側に配置し、ビジネスネットワークから隔離する
- リモートアクセスが必要な場合は、仮想プライベートネットワーク(VPN)などの安全な方法を使用する。VPNには脆弱性がある可能性があることを認識し、利用可能な最新のバージョンに更新する必要がある。
- また、VPNは接続されているデバイスの安全性に依存することも認識しておく必要がある。
Comments