Errores críticos en Philips TASY EMR podrían revelar datos de pacientes

EMR Philips TASY

La Agencia de Seguridad Cibernética y de Infraestructura de EE. UU. (CISA) advierte sobre vulnerabilidades críticas que afectan Sistema de registros médicos electrónicos (EMR) Philips Tasy que podría ser explotado por actores de amenazas remotos para extraer datos personales confidenciales de las bases de datos de pacientes.

«La explotación exitosa de estas vulnerabilidades podría resultar en la divulgación de datos confidenciales de pacientes o su extracción de la base de datos Tasa, otorgar acceso no autorizado o crear una denegación de servicio», dijo CISA en un boletín médico publicado el 4 de noviembre.

Philips Tasy EMR, utilizado por más de 950 instituciones de salud principalmente en América Latina, está diseñado como una solución integrada de TI para el cuidado de la salud que permite la gestión centralizada de procesos clínicos, organizativos y administrativos, incluida la integración de análisis, facturación e inventario y gestión de inventario de recetas.

Los errores de inserción de SQL (CVE-2021-39375 y CVE-2021-39376) afectan a EMR HTML5 3.06.1803 y versiones anteriores y esencialmente podrían permitir que un atacante modifique las declaraciones de la base de datos SQL, lo que resulta en acceso no autorizado, exposición a información confidencial e incluso la ejecución de cualquier comando del sistema. Ambos problemas de seguridad recibieron una calificación de 8,8 sobre 10 según su gravedad:

  • CVE-2021-39375 (puntuación CVSS: 8,8): el producto afectado permite la inserción de SQL a través del parámetro WAdvancedFilter/getDimensionItemsByCode FilterValue.
  • CVE-2021-39376 (puntuación CVSS: 8,8): El producto en cuestión permite la inserción de SQL a través del parámetro CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST o CD_USUARIO_CONVENIO.

Sin embargo, cabe señalar que la explotación de estas vulnerabilidades requiere que el actor de la amenaza ya tenga las credenciales para acceder al sistema afectado.

«Por el momento, Philips no ha recibido ningún informe de explotación de estas vulnerabilidades o incidentes de uso clínico que puedan estar relacionados con este problema», dijo la compañía holandesa en un comunicado. «El análisis de Philips ha demostrado que es poco probable que esta vulnerabilidad tenga un impacto en el uso clínico. El análisis de Philips también sugiere que no se puede esperar ningún riesgo para los pacientes como resultado de este problema».

Se recomienda a todos los proveedores de atención médica que utilicen una versión vulnerable del sistema EMR que actualicen a la versión 3.06.1804 o posterior lo antes posible para evitar un posible uso indebido en el mundo real.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática