200万墨西哥病患的医疗数据被暴露；OpenEMR系统存在多个漏洞

聚焦源代码安全，网罗国内外最新资讯！

作者：Lawrence Abrams和Shaun Nichols

翻译：360代码卫士团队

含有200万墨西哥病患医疗信息的MongoDB数据库遭暴露。被暴露的数据包括病患全名、性别、出生日期、保险信息、残疾情况以及家庭住址。

MongoDB 数据库遭暴露

安全研究员 Bob Diachenko 通过 Shodan 搜索引擎发现了该数据库，任何人无需密码均可访问并编辑该数据库。Diachenko 分析后发现他能够找到包含管理员邮件地址在内的字段。这些邮件拥有 hovahealth.com 和 efimed.care 域名。

Hovahealth.com属于位于墨西哥的 Hova Health 技术公司，主要为医疗行业服务。目前尚不清楚 efimed.care 域名属于哪家公司，可能归政府医疗服务所有。

Diachenko 指出发现数据库遭暴露后告知 Hova Health 公司，后者回应称将仔细审查此事，避免类似事件再次发生。三小时后数据库的安全得到加固。虽然从数据库条目能看出管理人员是谁，但 Diachenko 表示这些管理人员从未直接说明其所有权。因此目前尚不知晓数据到底属于谁。

笔者尝试联系 Hova Health 以及托管 Enfimed 信息的另外一个网站，但无论通过美国还是墨西哥 IP 地址均未取得联系。

MongoDB 数据库遭暴露并非新鲜事。随着医疗行业遭受的恶意攻击越来越多，管理员应该遵循最佳实践确保数据库安全。

OpenEMR 医疗记录存储系统存在多个漏洞

医疗行业的安全不容小觑。最近，Project Insecurity 公司的研究团队在使用广泛的 OpenEMR 医疗记录存储系统中发现并报告多个安全漏洞。这些漏洞已由开发人员在上个月发布的版本 5.0.14 中修复。几周后，研究人员发布详细的披露报告。

在这些漏洞中，4个是远程代码执行漏洞，9个是 SQL 注入漏洞、任意读写和删除漏洞、3个信息泄露缺陷、1个跨站请求伪造可导致远程代码执行的漏洞、1个不受限制的文件上传漏洞、病患门户认证绕过缺陷以及仅通过猜测 URL 路径就能执行的管理操作等。

研究人员表示所有的问题都是在未使用任何自动化测试工具的情况下发现的。他们手动审查源代码并通过 Burp Suite Communicty Edition 修改请求，并未使用任何自动化扫描器或源代码分析工具。

研究人员建议在 PHP 脚本中使用参数化数据库查询（以阻止 SQL 注入）并只能向非可执行图像文件上传（以修复任意文件上传和运行漏洞）。至于其它漏洞如远程代码执行和跨站请求伪造漏洞要求开发人员提高速度并实现编写源代码的最佳实践。

OpenEMR 自称为“最流行的开源电子医疗记录和医疗实践管理解决方案”。

https://www.bleepingcomputer.com/news/security/health-care-data-of-2-million-people-in-mexico-exposed-online/

https://www.theregister.co.uk/2018/08/07/openemr_vulnerabilities/