Според изследовател критична уязвимост, която може да засегне сървърите на Orthanc, може да представлява сериозен риск за медицинските данни и здравните операции.

Миналата седмица американската агенция за киберсигурност CISA публикува медицинска консултация за ICS, за да информира организациите за CVE-2025-0896 – критичен проблем с автентичността, открит в Orthanc, олекотен DICOM сървър с отворен код за медицински изображения. Продуктът се използва в цял свят в сектора на здравеопазването и общественото здраве.

CISA разкри, че версиите на сървъра Orthanc преди 1.5.8 могат да позволят на отдалечен нападател да получи достъп до системата, тъй като основното удостоверяване не е активно по подразбиране, когато е разрешен отдалечен достъп.

„Успешното използване на тази уязвимост може да позволи на атакуващия да разкрие чувствителна информация, да модифицира записи или да предизвика състояние на отказ на услуга“, предупреди CISA.

Сувик Кандар, водещ изследовател във фирмата за IoT/OT сигурност MicroSec, един от изследователите, кредитирани в консултацията на CISA за тази уязвимост, заяви, че CVE-2025-0896 може да бъде експлоатирана дистанционно от интернет и той е видял 615 случая, изложени в мрежата.

„Като използва тази уязвимост, атакуващият може да манипулира данните на пациентите в рамките на приложението, да изтрие критични рентгенови изображения и потенциално да причини животозастрашаващи последици за пациентите. Това представлява сериозен риск за операциите в сферата на здравеопазването и безопасността на пациентите“, обяснява Кандар.

CISA заяви, че не знае за атаки, използващи тази уязвимост.

Разработчиците на Orthanc призовават потребителите да обновят до най-новата версия и да проверят конфигурацията си, за да се уверят, че е разрешено удостоверяването, ако е разрешен отдалечен достъп. Организациите трябва също така да се уверят, че са определили потребители на сървъра Orthanc и че тези потребители имат силни пароли. Допълнителна информация за защита на сървърите Orthanc е налична в документацията, предоставена от Orthanc.

Разработчикът на Orthanc предостави някои важни разяснения относно причините за съществуването на уязвимостта, кога всъщност е била закърпена и действията, които потребителите трябва да предприемат:

Олекотеният дизайн на Orthanc позволява на всеки да завърти бързо сървър Orthanc на собствения си компютър и да започне да си играе с DICOM файлове. За тази цел по подразбиране не е разрешено удостоверяване на Rest API, но за да се запази сигурността на системата, Rest API е достъпен само от localhost. Отдалеченият достъп трябва да бъде разрешен изрично в конфигурационен файл.

До версия 1.5.7 разрешаването на отдалечения достъп не позволяваше автоматично да се включи удостоверяването. Това беше поправено във версия 1.5.8, която беше пусната през октомври 2019 г., но тогава не беше издаден CVE, така че този CVE беше публикуван сега, за да предизвика нов интерес към този проблем.

Както винаги, сигурността не е само въпрос на софтуер, а най-вече на хора, които конфигурират софтуера, така че дори към днешна дата с най-новата версия 1.12.6 все още е възможно да се активира отдалечен достъп и да се деактивира удостоверяването, тъй като това е напълно логично в някои архитектури, в които Orthanc е предварително защитен от други системи.

Освен това, дори и да сте обновявали Orthanc редовно, ако сте поддържали конфигурационен файл в продължение на много години, има вероятност никога да не сте актуализирали съответните конфигурации и вашият скорошен Orthanc все още да е изложен на риск.“