PWNEDCR 0x3

[In]Seguridad en Sistemas PACS/DICOM
2020-12-06, 09:00–09:47, Main Track

¿Piensas que tus radiografías o registros médicos están seguros? ¿Qué impacto podría tener al tomar decisiones equivocadamente con datos erróneos en las infraestructuras hospitalarias? Mediante los fallos descubiertos en aplicaciones PACS/DICOM EMR/RIS tanto web y móviles, compartiré como este tipo de plataformas están en riesgos de ser comprometidas.
Serán explicados los principales fallos encontrados a nivel de código, errores de implementación de backends, protocolos obsoletos, credenciales “hardcoded” en aplicaciones, “leaks” de información, donde cada uno de estos permitirían poner en riesgo datos sensibles de pacientes y doctores; así como también una infraestructura sanitaria completa.


A estas alturas, ya nadie se sorprende cuando visitas a un médico y completa tu historia clínica en una computadora o en un dispositivo móvil, pero quizás no somos tantos los que nos preguntamos dónde y cómo se guarda esta información; así como también que impacto tendría si otras personas obtengan esa información.
En esta charla intento analizar y responder estas cuestiones a partir de las vulnerabilidades encontradas en diferentes aplicaciones médicas evaluadas en aplicaciones web y móviles, principalmente sistemas PACS, visores DICOM, sistemas de ERM/HRM/RIS, que tiene conectividad mediante protocolos DICOM/HL7.

Durante el tiempo que llevo investigando este tipo de sistemas, he encontrado fallos a nivel de código principalmente de tipo inyección, errores de implementación de servidores, credenciales “hardcoded” en aplicaciones, divulgación de información; y cada uno de estos permitirían poner en riesgo datos sensibles de pacientes y doctores, como también poner en riesgo una infraestructura sanitaria completa.

La charla mostrará el nivel de exposición de estos sistemas basados en análisis que he realizado, fallos encontrados y reportados; donde también incluyo una demostración contra uno de estos sistemas. Los hospitales, clínicas, pacientes, doctores y sistemas/dispositivos de monitoreo de los mismos, podrían verse afectado por estas vulnerabilidades.

https://www.exploit-db.com/exploits/45
https://www.exploit-db.com/exploits/43907/007/
https://www.exploit-db.com/exploits/43908/
http://www.elladodelmal.com/2017/10/pacsone-server-all-bugs-in-one-en-la.html
http://blog.elevenpaths.com/2017/05/pacs-y-dicom-una-radiografia-las.html
http://blog.elevenpaths.com/2017/11/seguridad-aplicaciones-dicom-elevenpaths.html
http://blog.elevenpaths.com/2018/03/inseguridad-aplicaciones-PACS-DICOM.html