ملحوظة المحرر: في هذه المقالة، سنتناول نقاط الضعف في برامج الرعاية الصحية الشائعة حتى تكون على دراية بنقاط الضعف المحتملة. وإذا كنت تريد التأكد من أن تطبيق الرعاية الصحية الخاص بك محمي بشكل جيد من التهديدات الأمنية، فاستكشف موقعنا اختبار الأمان يعرض.
OpenEMR هو الحل مفتوح المصدر الأكثر شيوعًا لإدارة السجلات الطبية الإلكترونية. تشير الإحصائيات إلى أن 100 مليون مريض لديهم بيانات في النظام حول العالم.
أحد الجوانب التي تجعل هذا البرنامج شائعًا هو أن الناس يميلون إلى الوثوق به باعتباره آمنًا وخاليًا من المشكلات. لكن، الباحثين في مجال الأمن السيبراني أجرت مراجعة للكود المصدري الذي كشف عن العديد من نقاط الضعف، ونشرتها لاحقًا في ورقة بحثية.
أنشأ الفريق بيئة الاختبار الخاصة به على خادم Debian LAMP وقام بتنزيل أحدث كود مصدر OpenEMR. ثم قاموا بمراجعتها يدويًا دون استخدام ماسحات ضوئية لرمز المصدر أو أدوات آلية أخرى.
فيما يلي بعض نقاط الضعف الأكثر إثارة للقلق التي وجدها الباحثون.
الوصول غير المصرح به إلى الوظائف الإدارية
تعد بوابة المريض مكونًا أساسيًا لنظام OpenEMR. فهو يمكّن المرضى من التواصل مع مقدمي الخدمة وملء النماذج والتوقيع عليها قبل مواعيدهم وحتى إجراء مشاورات عبر الفيديو مع المتخصصين في مجال الصحة.
يمكن للمستخدمين غير المصادقين تجاوز شاشة تسجيل الدخول الرئيسية التي تسمح للمرضى بالوصول إلى السجلات أو السماح للمسؤولين بمعالجة الطلبات. يمكن للمتسللين القيام بذلك عن طريق الانتقال إلى صفحة التسجيل في البوابة، ثم تعديل عنوان URL. إن معرفة مسار عنوان URL النسبي يتيح للمتسللين تنفيذ إجراءات إدارية.
قد تؤدي نقاط الضعف في بوابة المرضى إلى تسرب معلومات حساسة مثل نتائج المختبر وتفاصيل حول الحساسية والأدوية والوصول غير المصرح به إلى تفاصيل الدفع.
حقن SQL
يعد حقن SQL واحدًا من أنواع الاختراق الأكثر شيوعًا. يتطلب إدخال تعليمات برمجية ضارة في قواعد بيانات SQL من خلال المدخلات المستندة إلى الويب. يتيح هذا النوع من الهجمات للأشخاص عرض محتوى قاعدة البيانات ومعالجته. في حالة OpenEMR، أجرى الباحثون حوالي ثماني عمليات حقن SQL.
بعض حقن SQL التي استخدمها الباحثون لم تتطلب المصادقة على بوابة المريض أولاً. ومع ذلك، كانت جميعها بحاجة إلى مصادقة OpenEMR حتى يتم الاستغلال.
قدم متخصصو الأمن السيبراني تفاصيل حول مقتطفات التعليمات البرمجية المتأثرة. وأوصوا باستخدام الاستعلامات ذات المعلمات لتلك الأجزاء من التعليمات البرمجية، وهي طريقة مقبولة على نطاق واسع لمنع هجمات حقن SQL. يتضمن الاستعلام ذو المعلمات استخدام العناصر النائبة للمعلمات وتوفير القيم الضرورية عند تنفيذ استعلام SQL.
الكشف عن المعلومات غير المصرح بها
يحدث الكشف غير المصرح به عن المعلومات عندما لا يوفر التطبيق الحماية الكافية للمعلومات الحساسة من الأطراف التي لا ينبغي لها الوصول إليها. على هذا النحو، يمكن أن يوفر للمتسللين تفاصيل لمساعدتهم في المراحل اللاحقة من الهجوم.
كشفت الأبحاث عن عدة حالات للكشف غير المصرح به عن المعلومات داخل OpenEMR. أظهر أحدهما تفاصيل المستخدمين غير المصادقين، بما في ذلك اسم قاعدة البيانات والإصدار الحالي من OpenEMR الذي تستخدمه إحدى المؤسسات. عرض آخر معلومات الإصدار حول الإصدار المثبت من OpenEMR.
ثغرة أمنية في تحميل الملفات
أثناء بحثهم، وجد متخصصو الأمن السيبراني مشكلة تتكرر بسبب عدم وجود عمليات فحص لملفات الصور التي تم تحميلها من قبل المسؤولين. وخلصوا إلى أن المشكلة ستسمح للمستخدمين المعتمدين بالحصول على امتيازات عن طريق تحميل PHP web shell لتنفيذ أوامر النظام.
تضمنت توصيات حل المشكلة إدراج ملحقات غير صورية في القائمة السوداء أو استخدام عمليات فحص أخرى للتحقق من أن الملف الذي تم تحميله هو صورة.
مشكلات تزوير الطلبات عبر المواقع
يحدث طلب التزوير عبر المواقع عندما يُجبر مستخدم معتمد لمنصة تستخدم ملفات تعريف الارتباط على المشاركة في إجراءات – غالبًا عن طريق النقر على روابط احتيالية داخل الواجهة – تؤدي إلى تغييرات في الحالة، بدلاً من سرقة البيانات.
وجد الباحثون أن OpenEMR كان عرضة لـ “أكثر من عدة” مشكلات تتعلق بطلبات التزوير عبر المواقع، وأن المشكلات أثرت تقريبًا على جميع الإجراءات الإدارية الممكنة على OpenEMR.
نتائج البحوث
وبعد أقل من ثلاثة أسابيع من كشف الفريق عن النتائج التي توصل إليها إلى الشركة المصنعة للبرنامج، دفعت الشركة بتحديث أدى إلى إصلاح الثغرات الأمنية. وبعد حوالي أسبوعين من هذا الإجراء المستجيب، تم نشر أخبار المشكلات التي تم الكشف عنها للجمهور.
وأظهر البحث أن تقييم الضعف الدوري و اختبار الاختراق يمكن أن يساعد إجراء هذه العمليات بواسطة محترفين في الكشف عن نقاط الضعف الموجودة في منصات مماثلة قبل أن يتم استغلالها. الآن بعد أن ظهرت المشكلات الموجودة في Open EMR إلى الضوء، يمكن لمتخصصي الأمن السيبراني العاملين في مؤسسات الرعاية الصحية التحقق للتأكد من عدم ظهورها مرة أخرى.
هذا هو دعوة لليقظة
لا يوجد نظام على الإنترنت، حتى لو كان مستخدمًا على نطاق واسع، خاليًا من المشكلات الأمنية. كشفت الأبحاث التي أجراها متخصصون في مجال الأمن عن عيوب في OpenEMR، والتي يجب أن تذكر المؤسسات في القطاع الطبي بأنها لا تستطيع التغاضي عن الممارسات الأمنية.
حدد نقاط الضعف في الشبكة والتطبيقات قبل أن تتحول إلى تهديدات حقيقية لأمنك السيبراني.
