La solution informatique de soins de santé de Philips vulnérable à l’injection SQL

hospital

Le DME Philips Tasy, utilisé par des centaines d’hôpitaux comme solution de dossier médical et système de gestion des soins de santé, est vulnérable à deux failles critiques d’injection SQL.

Les vulnérabilités sont suivies comme CVE-2021-39375 et CVE-2021-39376, et les deux ont un score de gravité de 8,8 dans CVSS v3.

Il s’agit de failles d’injection SQL via deux paramètres, reposant sur l’échappement incorrect de caractères spéciaux dans les commandes SQL.

Les versions concernées du produit sont Tasy EMR HTML5 3.06.1803 et versions antérieures, de sorte que toutes les organisations utilisant la suite de soins de santé sont invitées à effectuer une mise à niveau vers la version 3.06.1804 ou une version ultérieure.

CISA a également publié un avis pour le produit, car il est largement déployé dans de nombreux instituts de santé publics et privés, principalement en Argentine, au Brésil, en Colombie, au Mexique et en République dominicaine.

« Les organisations observant toute activité malveillante suspectée doivent suivre leurs procédures internes établies et signaler leurs conclusions à la CISA pour le suivi et la corrélation avec d’autres incidents », a averti le consultatif de la CISA.

Selon Philips, le DME Tasy est utilisé par près de 1 000 établissements de santé dans le monde et constitue la principale solution informatique en Amérique latine.

Fuites de données dans le secteur de la santé

Le produit Tasy EMR contient des dossiers médicaux sensibles, des antécédents de soins aux patients, des détails sur les fournitures médicales, des informations financières et de facturation et des données générales de gestion hospitalière.

Comme il s’agit d’un point central de détention de données sensibles, sa compromission conduirait à l’exposition d’un grand nombre de personnes.

Cela devient particulièrement problématique lorsque les hôpitaux sont souvent contraints de soigner des patients en urgence sans avoir reçu le consentement pour le traitement des données.

La responsabilité de sécuriser ces données pèse souvent sur les entités publiques qui doivent travailler avec des ressources limitées et dans des moments difficiles imposés par une pandémie persistante.

Ces raisons expliquent précisément pourquoi les groupes de ransomware se sont récemment concentrés sur le secteur de la santé et pourquoi le vol de fichiers suffirait à lui seul à lancer le processus d’extorsion.

Mesures de sécurité

Les hôpitaux qui utilisent le Tasy EMR doivent passer au dernier service pack disponible, et Philips offre une assistance sur la façon de le faire par le biais de ses équipes régionales de service client.

De plus, les établissements de santé doivent prendre des mesures pour minimiser l’exposition au réseau de systèmes similaires, les isoler des réseaux externes et déployer des pare-feu.

Lorsque les médecins ont besoin d’un accès à distance à ces bases de données sensibles, ils doivent toujours utiliser des outils VPN (Virtual Private Network) pour s’y connecter.