美国CISA曝飞利浦TASYEMR中的漏

我们知道EMR医院中信息系统中的四大核心（HIS\LIS\PACS\EMR)之一，是医院信息系统的重中之重，若它出现安全漏洞，对医院的正常办公以及患者敏感个人信息来说，风险都是巨大的。

最近，美国网络安全和基础设施安全局(CISA)就影响飞利浦Tasy电子病历(EMR)系统的严重漏洞发出警告，远程威胁参与者可能会利用这些漏洞从患者数据库中提取敏感的患者数据。

CISA在11月4日发布的医疗公告中说：“成功利用这些漏洞可能会导致患者的机密数据被泄露或从Tasy的数据库中提取、提供未经授权的访问或造成拒绝服务条件。”

飞利浦TasyEMR被主要在拉丁美洲的多家医疗机构使用，其设计为集成的医疗信息学解决方案，可实现临床、组织和行政流程的集中管理，包括整合分析、计费以及医疗处方的库存和供应管理。

在SQL注入缺陷-CVE--和CVE---影响TasyEMRHTML年6月3日和之前，并且基本上可以使攻击者能够修改SQL数据库命令，导致未经授权的访问，敏感信息曝光，并甚至执行任意系统命令。这两个安全问题的严重程度都在8.8分（共10分）：

CVE--：受影响的产品允许通过WAdvancedFilter/getDimensionItemsByCodeFilterValue参数进行SQL注入。

CVE--：受影响的产品允许通过CorCad_F2/executaConsultaEspecificoIE_CORPO_ASSIST或CD_USUARIO_CONVENIO参数进行SQL注入。

但是，值得注意的是，利用这些漏洞需要威胁参与者已经拥有授予访问受影响系统的凭据。

目前，飞利浦尚未收到有关利用这些漏洞或临床使用事件的报告，已经能够将这些漏洞或事件与这个问题联系起来，飞利浦的分析表明，此漏洞不太可能影响临床使用。飞利浦的分析还表明，预计不会因此问题而对患者造成危害。

建议所有使用EMR系统易受攻击版本的医疗保健提供者更新到版本3.06.。或尽快，以防止潜在的现实世界的剥削。

医院的网络安全历来都是重灾区，如在某些监测统计中，其漏洞占比一直居高不下，医院信息化过程中，存在重应用轻管理，重建设轻防护的问题。而当年想哭病毒的爆发，一下子击中了英国医疗系统的软肋，致使其医疗系统大面积瘫痪。医疗系统的安全，关系到所有人的信息安全，甚至生命安全，所以并不是危言耸听，而是必须引起我们足够的重视。

转载请注明：http://www.abuoumao.com/hytd/4177.html