Philips Tasy EMR ヘルスケアに深刻な SQL インジェクションの脆弱性

Philips healthcare infomatics solution vulnerable to SQL injection

2021/11/05 BleepingComputer — 医療記録ソリューションおよび医療管理システムとして、数百の病院で使用されている Philips Tasy EMR に、2つの深刻な SQL インジェクションの脆弱性が存在している。これらの脆弱性は、CVE-2021-39375 および CVE-2021-39376 として追跡されており、CVSS v3 の深刻度スコアはともに 8.8 となっている。

これらの脆弱性は、2つのパラメータを介した SQL インジェクションの欠陥であり、SQL コマンドにおける特殊文字の不適切なエスケープに依存している。影響を受けるバージョンは、Tasy EMR HTML 5 3.06.1803 以前となっている。このヘルスケア・スイートを使用している全ての組織は、バージョン 3.06.1804 以降へのアップグレードが急がれる。

Tasy EMR HTML5 は、アルゼンチン/ブラジル/コロンビア/メキシコ/ドミニカ共和国などを中心とする、数多くの公的/私的医療機関に広く導入されており、CISA も同製品に関する勧告を発表している。

CISA の勧告は、「悪意の活動の疑いを観測した組織は、確立された内部手順に従い、調査結果を CISA に報告し、他のインシデントとの相関関係を追跡する必要がある」と述べている。Philips によると、Tasy EMR は世界中の約1,000の医療機関で使用されており、特にラテン・アメリカでは代表的なインフォマティクス・ソリューションとなっている。

医療現場でのデータ漏洩

Tasy EMR は、機密性の高い医療記録/患者の治療履歴/医療用品の詳細/財務/請求情報、および、一般的な病院管理データを保持している。こうした、機密性の高いデータを保持する中心的な存在であるため、その漏洩による被害が、多くの人々におよぶと懸念されている。特に、病院がデータ処理への同意を得ずに、緊急患者の治療を余儀なくされた多い場合には、この問題は深刻となる。

これらのデータを保護する責任は、パンデミックが継続して発生している厳しい状況の中では、限られたリソースで業務を遂行している公的機関などにとって負担となる。このような理由から、最近のランサムウェア・グループは医療分野に焦点を当て、ファイルを盗むだけで恐喝プロセスを開始している。

セキュリティ対策

Tasy EMR を使用している病院は、利用可能な最新のサービスパックにアップグレードする必要がある。Philips は、各地域のカスタマー・サービス・チームを通じて、その方法をサポートしている。さらに、医療機関では、システムのネットワークへの露出を最小限に抑え、外部ネットワークから隔離し、ファイアウォールを導入するなどの対策が必要となる。これらの機密データベースに、医師がリモート・アクセスする場合には、必ず VPN ツールを使用する必要がある。

お隣のキュレーション・チームに確認したところ、どちらの脆弱性も9月2日付けでレポートを上げているそうです。Philips に関しては、7月7日に「CISA 勧告:Philips Vue ヘルスケア製品に 15 の脆弱性」という記事をアップしています。また、カテゴリ HealthCare もありますので、よろしければ、合わせてど〜ぞ。

%d bloggers like this: