Bricks Huisarts v2.3.12.94166存在电子咨询文件上传漏洞

背景

根据Z-Cert.nl的年度报告，勒索软件攻击是医疗保健领域面临的最大威胁。报告指出，相比于单个诊所或专业人员，医疗供应商更频繁地成为攻击目标（第16页）。一个可能的解释是，黑客攻击供应商的影响可能更大，因为他们可能同时为多个客户提供服务。

荷兰初级医疗保健领域最大的供应商是那些构建电子健康记录（EHR）系统的公司。它们存储着我们最机密的信息，并且通常是复杂的应用程序，需要支持与大量其他系统的集成。

今天，我们将尝试在这些系统中寻找一个漏洞，以便上传我们的可执行文件（一个模拟病毒）。这种攻击向量可能会引起勒索软件组织的兴趣，因为他们希望在存储敏感数据的环境中运行其代码。他们利用此类漏洞远程访问系统并加密文件，以便在后续阶段对受害者进行勒索。

协调漏洞披露政策

今天的供应商（Bricks Huisarts Tetra）有一个协调漏洞披露政策，这非常棒！参见 https://brickshuisarts.nl/security.txt 和 https://brickshuisarts.nl/security-policy.html。 强烈建议发布这样的协调漏洞披露政策；它为发现漏洞后如何处理提供了清晰的指导，并降低了道德黑客帮助他们的风险。

向您的医生上传恶意可执行文件

向医疗保健提供者发送恶意可执行文件最快的方式就是使用电子邮件。可悲的是，医疗行业仍然使用这种媒介来接收患者的信息。 “皮肤上有红点吗？请给我们发张照片。”——这是医疗保健的现状。 但是，当双击文件bigredspot1.jpg.exe时，谁受过训练来判断它是否是恶意的？归根结底，我们非常擅长检测病毒感染引起的红点，但不擅长检测包含病毒的恶意文件。

幸运的是，我们有一些应用程序可以让我们安全地与初级医疗保健提供者互动。Bricks Huisarts就是其中之一，登录后你可以向医生提问，并在必要时附加文件（图片）。但是，如果附加的文件是恶意可执行文件呢？接收我们可执行文件的系统是否会处理它，并在医生使用的应用程序中显示？

以下是医生在收到使用门户应用程序的客户提问时使用的仪表板。 请注意上面的“ClickYesSetup.exe”。这是电子咨询的附件文件。 如您所见，作为概念证明，附加了一个ClickYesSetup.exe文件。这可以是任何可执行文件，也包括勒索软件组织的有效载荷。如果我们点击该文件，它乐意运行这个可执行程序。 点击后，它便开始运行上传的可执行文件。 是时候报告了。

结论

Tetra系统曾存在漏洞，允许患者将可执行文件上传到EHR系统中。每当医疗保健提供者在EHR系统内双击恶意文件时，就会产生风险。 Tetra迅速修补了这个漏洞并发布了新版本。这是一个妥善进行负责任披露的完美范例！

讨论

有人可能会说，医生有责任不打开可能导致代码执行的文件。 这同样适用于电子邮件，不要打开奇怪的附件。归根结底，我们最大的挑战是用户双击链接和文件。风险意识非常重要。 一个可能的修复方法是检查文件的扩展名和实际文件内容是否与给定的扩展名匹配。将该扩展名与白名单进行匹配（只接受一些常规图像文件格式，如JPG和PNG）。如果不匹配，则直接拒绝文件上传。 请记住，每个人都会犯错；关键是你如何处理它们。透明即是信任。 他们支持我的道德研究，努力使医疗供应商更加安全。多亏了他们，我才能分享这个故事，让我们都能从中学习。这是一个强有力领导力的好例子。 这个行业的其他公司呢，他们是否也有这种透明度的水平？如果没有，他们需要什么才能达到那种成熟度水平？

时间线

• 2024年1月10日 —— 与Bart合作（他有访问此系统的权限），他确认了Tetra中的漏洞。他联系了他的工作IT联系人，后者联系了Tetra报告该漏洞。
• 2024年3月6日 —— 我联系了Tetra，确认漏洞是否已解决（之前的沟通未包含此信息），Tetra确认了修复并允许我继续进行负责任的披露。
• 2024年3月10日 —— 我撰写了报告，并将草稿分享给了Tetra和Bart（我请求Bart是否能给我一些他在患者门户中确切上传文件位置的截图）。
• 2024年3月17日 —— 将博客更新发送给Tetra，请求检查内容。
• 2024年3月20日 —— 发布了这份报告。