Niezaufany atakujący z dostępem do sieci lokalnej gabinetu medycznego może wykorzystać znane domyślne dane uwierzytelniające, aby uzyskać zdalny dostęp DBA do bazy danych Firebird systemu Elefant. Podatność jest krytyczna ze względu na ekspozycję danych pacjentów oraz możliwość przejęcia kontroli nad serwerem.
▸ Pokaż oryginał (EN)
An unauthenticated attacker with access to the local network of the medical office can use known default credentials to gain remote DBA access to the Elefant Firebird database. The data in the database includes patient data and login credentials among other sensitive data. In addition, this enables an attacker to create and overwrite arbitrary files on the server filesystem with the rights of the Firebird database ("NT AUTHORITY\SYSTEM").
System Elefant firmy Hasomed korzysta z bazy danych Firebird skonfigurowanej z domyślnymi, powszechnie znانymi danymi logowania, które nie są zmieniane podczas instalacji. Atakujący w sieci lokalnej może użyć tych danych do nawiązania zdalnego połączenia z bazą z pełnymi uprawnieniami administratora bazy danych (DBA). Posiadając uprawnienia DBA w bazie Firebird działającej w kontekście konta 'NT AUTHORITY\SYSTEM', atakujący może nie tylko odczytywać i modyfikować dane w bazie, lecz także tworzyć oraz nadpisywać dowolne pliki w systemie plików serwera.
Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych danych medycznych pacjentów oraz danych logowania przechowywanych w bazie, a także tworzyć lub nadpisywać dowolne pliki na serwerze z uprawnieniami systemowymi (NT AUTHORITY\SYSTEM), co w praktyce oznacza pełne przejęcie kontroli nad serwerem.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. W trybie pilnym zaleca się natychmiastową zmianę domyślnych danych uwierzytelniających bazy danych Firebird, ograniczenie dostępu sieciowego do portu bazy danych wyłącznie do zaufanych hostów (firewall, segmentacja sieci) oraz monitorowanie nieautoryzowanych połączeń z bazą.
Oprogramowanie Elefant firmy Hasomed — wersje wskazane w referencjach producenta; dotyczy instalacji z dostępem do sieci lokalnej gabinetu medycznego
Podatność dotyczy systemu przeznaczonego dla gabinetów medycznych, co oznacza przetwarzanie szczególnych kategorii danych osobowych (dane zdrowotne) — incydent może rodzić obowiązki notyfikacyjne wynikające z RODO/UODO. Szczegółowe informacje techniczne zostały opublikowane na liście full-disclosure (seclists.org) w listopadzie 2024.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H