상세 컨텐츠

본문 제목

Philips TASY EMR의 치명적인 취약점, 환자 데이터 노출시켜

국내외 보안동향

by 알약4 2021. 11. 9. 14:00

본문

Critical Flaws in Philips TASY EMR Could Expose Patient Data

 

CISAPhilips Tasy 전자 의료 기록(EMR) 시스템에 존재하는 심각한 취약점에 대해 경고했습니다. 해당 취약점을 악용할 경우 원격 공격자가 환자의 데이터베이스에서 민감한 데이터를 추출할 수 있는 것으로 나타났습니다.

 

CISA 11 4일 발행된 의료 관련 공지를 통해 아래와 같이 밝혔습니다.

 

"이 취약점을 성공적으로 악용할 경우 환자의 기밀 데이터가 Tasy의 데이터베이스를 통해 노출/추출되거나, 공격자가 무단으로 접근하거나, 서비스 거부 상태가 발생할 수 있습니다.”

 

Philips Tasy EMR은 라틴 아메리카의 의료 기관 950곳 이상에서 사용되며 의료 처방과 관련한 분석, 청구, 재고, 공급 관리 통합을 포함하여 임상, 조직, 관리 프로세스의 중앙 집중식 관리를 가능하게 하는 통합 의료 정보학 솔루션입니다.

 

SQL 주입 취약점(CVE-2021-39375, CVE-2021-39376) Tasy EMR HTML5 3.06.1803 및 이전 버전에 영향을 미치며, 공격자가 SQL 데이터베이스 명령을 수정하도록 허용해 무단 액세스, 민감한 정보 노출, 임의 시스템 명령 실행을 허용할 수 있습니다. 이 두 보안 이슈의 심각도는 10점 만점에 8.8점을 기록했습니다.

 

CVE-2021-39375: 영향을 받는 제품은 WAdvancedFilter/getDimensionItemsByCode FilterValue 파라미터를 통해 SQL 주입을 허용합니다.

CVE-2021-39376: 영향을 받는 제품은 CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST 또는 CD_USUARIO_CONVENIO 파라미터를 통한 SQL 주입을 허용합니다.

 

하지만 이러한 취약점을 이용하려면 공격자가 영향을 받는 시스템에 대한 액세스 권한을 가진 크리덴셜을 가지고 있어야 합니다.

 

Philips는 이와 관련하여 아래와 같이 밝혔습니다.

 

"현재 Philips는 이 이슈를 악용한 임상 사고 또는 사건에 대한 제보를 받지 못했습니다.”

 

"Philips의 분석에 따르면, 이 취약점이 임상에 영향을 미칠 가능성은 낮습니다. 이 문제로 인해 환자에게 위험이 발생하지 않을 것입니다.”

 

취약한 버전의 EMR 시스템을 사용하는 모든 의료 기관은 악용을 방지하기 위해 가능한 빠른 시일 내 버전 3.06.1804로 업데이트할 것을 권장합니다.

 

 

 

 

출처:

https://thehackernews.com/2021/11/critical-flaws-in-philips-tasy-emr.html

https://us-cert.cisa.gov/ics/advisories/icsma-21-308-01

관련글 더보기

댓글 영역