Bricks Huisarts v2.3.12.94166 电子咨询功能存在可执行文件上传漏洞

背景

根据 Z-Cert.nl 年度报告，医疗行业的勒索软件攻击是我们最大的威胁。报告指出（第16页），相比个体诊所或专业人员，医疗供应商更常成为攻击目标。

一个可能的解释是：入侵供应商的影响更大，因为他们可能同时为多个客户提供服务。荷兰初级医疗保健领域最大的供应商是那些构建电子健康记录（EHR）系统的公司。他们存储我们最机密的信息，并且通常是复杂的应用程序，必须支持与大量其他系统的集成。

今天，我们将尝试在其中一个系统中找到一个漏洞，以上传我们的可执行文件（一个模拟病毒）。这个攻击向量可能引起勒索软件组织的兴趣，因为他们希望在存储敏感数据的环境中运行他们的代码。他们利用此类漏洞获得对系统的远程访问并加密文件，以便在后续阶段勒索受害者。

今天的供应商（Bricks Huisarts Tetra）有一个协调漏洞披露政策，这太棒了！参见 https://brickshuisarts.nl/security.txt 和 https://brickshuisarts.nl/security-policy.html

强烈建议发布这样的协调漏洞披露；它为发现漏洞时如何操作提供了清晰的指导，并降低了道德黑客帮助他们时的风险。

向医疗保健提供商发送恶意可执行文件的最快方式是使用电子邮件。遗憾的是，医疗保健行业仍然使用这种媒介接收患者的信息。

“皮肤上有红点？请通过电子邮件发送一张照片。” — 医疗保健的现状

但是，当双击文件 bigredspot1.jpg.exe 时，谁受过培训来判断它是否是恶意的？归根结底，我们非常擅长检测由病毒感染引起的红点，但不擅长检测包含病毒的恶意文件。

幸运的是，我们有一些应用程序可以让我们安全地与初级医疗保健提供商互动。Bricks Huisarts 是其中之一，登录后，您可以向医生提问并在必要时附加文件（图片）。但是，如果附加的文件是恶意可执行文件呢？接收我们可执行文件的系统会处理它并在医生使用的应用程序中显示吗？

以下是医生在接收使用门户应用程序的客户的问题时使用的仪表板。

请注意上面的“ClickYesSetup.exe”。它是电子咨询的附加文件。

如您所见，附加了一个 ClickYesSetup.exe 文件作为概念验证。这可以是任何可执行文件，也可以是勒索软件组的有效载荷。如果我们单击该文件，它会很高兴地运行可执行文件。

单击时，它会启动上传的可执行文件。

是时候报告了。

Tetra 容易受到患者将可执行文件上传到 EHR 系统的攻击。每当医疗保健提供者在 EHR 系统内双击恶意文件时，这都会造成风险。

Tetra 迅速修补了该漏洞并发布了新版本。这是一个完美的负责任披露的例子！

有人可能会说，医生有责任不打开可能导致代码执行的文件。

这同样适用于电子邮件，不要打开奇怪的附件。归根结底，我们最大的挑战是用户双击网址和文件。风险意识非常重要。

一个可能的修复方法是检查文件的扩展名和实际文件内容是否与给定的扩展名匹配。将该扩展名与白名单匹配（仅接受一些常规图像文件格式，如 JPG 和 PNG）。如果不匹配，则直接拒绝上传文件。

请记住，每个人都会犯错；重要的是你处理它们的方式。透明就是信任。

他们支持我的道德研究；努力让医疗保健供应商更加安全。多亏了他们，我才能分享这个故事，以便我们都能从中学习。这是一个强大领导力的好例子。

这个行业的其他公司呢，他们是否也有这种透明度水平？如果没有，他们需要什么才能达到那种成熟度水平？

2024年1月10日 — 与 Bart 合作（他可以访问该系统），他确认了 Tetra 中的漏洞。他联系了工作中的 IT 联系人，后者联系了 Tetra 报告该漏洞
2024年3月6日 — 我联系了 Tetra 以检查漏洞是否已解决（未包含在之前的通信中），Tetra 确认了修复并允许我继续进行负责任披露
2024年3月10日 — 我撰写了报告并与 Tetra 和 Bart 分享了草稿（我请求 Bart 是否可以给我一些他在患者门户中上传文件的确切位置的截图）
2024年3月17日 — 将此博客的更新发送给 Tetra，请求检查内容
2024年3月20日 — 发布了此报告