2015-09-20 16:05:26
by Taso_X on 19/09/2015
https://iguru.gr
Γνωρίζετε το e-Prescription. Για όσους δεν το γνωρίζουν, η υπηρεσία είναι το νέο ενιαίο σύστημα συνταγογράφησης, που τρέχει από το 2013.
Με το σύστημα e-Prescription ο ΕΟΠΥΥ μπορεί να «βλέπει» σε πραγματικό χρόνο την πορεία της εκτέλεσης ενός παραπεμπτικού για μία διαγνωστική εξέταση ή μία θεραπεία, από τη στιγμή που γράφεται μία συνταγή, μέχρι τη στιγμή που υποβάλλεται στο διαγνωστικό κέντρο ή το φυσικοθεραπευτήριο.
Στο σύστημα αναρτάται σε μορφή PDF και το τιμολόγιο. Με αυτό τον τρόπο δεν θα μπορεί να εκτελεστεί δεύτερη φορά το ίδιο παραπεμπτικό, ενώ ο ΕΟΠΥΥ μπορεί ελέγχει και θα εκκαθαρίζει τις δαπάνες του άμεσα και εξολοκλήρου ηλεκτρονικά χωρίς να χρειάζεται να αντιπαραβάλει τα καθαυτά φύλλα των παραστατικών.
Παράλληλα, στο σύστημα είναι καταχωρημένα όλα τα ιατρικά μηχανήματα των παρόχων και τα τεχνικά χαρακτηριστικά τους, οπότε κάθε φορά που ένας ασθενής θα κάνει μία εξέταση το σύστημα θα γνωρίζει από τι δυναμικότητας μηχάνημα έγινε και ανάλογα θα γίνεται και η διαβάθμιση της χρέωσης. (Πληροφορίες από το ΣΚΑΙ)
Δεν είναι λίγες οι φορές που έχουμε αναφερθεί στο Cross-Site Scripting. Είναι μία πολύ πολύ επικίνδυνη ευπάθεια που μπορεί να σου διαλύσει το site,την φήμη και να εκθέσει τα δεδομένα των χρηστών σου. Αν δεν το πιστεύεις αυτό τότε κανένας δεν μπορεί να σε σώσει από την αφέλεια σου
Όλη η υποδομή σου βρίσκεται σε κίνδυνο και δεν έχει καμία απολύτως σημασία αν έχεις Oracle σαν βάση κ JSP,ASP με SQL ή αν έχεις πρωτόκολλα κρυπτογράφησης (HTTPS).
Δυστυχώς η ασφάλεια δεν βρίσκεται στην ατζέντα των εταιρειών και των φορέων ακόμη αλλά οι επιθέσεις εξελίσσονται με ταχύτατους ρυθμούς και οι hackers βρίσκονται σε καλύτερο επίπεδο από τους αμυνόμενους.
Ενημερώσαμε την ιστοσελίδα, αλλά ακόμη δεν επικοινώνησε κάποιος μαζί μας, γιαυτό και δεν μπορώ να σας δείξω εικόνες από το PoC. Θα σας περιγράψω όμως όσο καλύτερα μπορώ το πως μπορεί να εκμεταλλευτεί κάποιος μερικά από τα προβλήματα.
Το https://www.e-prescription.gr έχει περισσότερα από ένα προβλήματα. Θα σας αναφέρω μερικά:
HTMLi
CRSF
Unvalidated Redirect
Τι μπορεί να κάνει ο επιτιθέμενος
Να κλέψει τo Session Id του χρήστη
Να καταγράψει τις κινήσεις του ποντικιού και του πληκτρολογίου
Να κλέψει αρχεία από τον υπολογιστή του επιτιθέμενου
Να κάνει επιθέσεις DDoS
Να επιτεθεί στο Intranet
Να δημιουργήσει XSS Shell
1ο Σενάριο Επίθεσης (Client) - HTMLi
Ο επιτιθέμενος θέλει να κλέψει τους κωδικούς των χρηστών και σε αυτό το σενάριο θα χρησιμοποιήσει phishing τεχνικές που με την βοήθεια των Social media δεν θα είναι δύσκολο σας ξεγελάσει.
Τι μπορεί να κάνει με το HTMLi?
To παρακάτω link εξηγεί την ευπάθεια χωρίς να οδηγεί σε πραγματικό path που φανερώνει το κενό ασφαλείας. (Οπότε δεν χρειάζεται να το δοκιμάσετε γιατί θα λάβετε 404).
https://www.e-prescription.gr/vulnerable.php,asp,jsp?name=Παρακαλώ εισάγεται το Username σας και τον κωδικό σαςΌνομα χρήστη:
Κωδικός:
medispin
https://iguru.gr
Γνωρίζετε το e-Prescription. Για όσους δεν το γνωρίζουν, η υπηρεσία είναι το νέο ενιαίο σύστημα συνταγογράφησης, που τρέχει από το 2013.
Με το σύστημα e-Prescription ο ΕΟΠΥΥ μπορεί να «βλέπει» σε πραγματικό χρόνο την πορεία της εκτέλεσης ενός παραπεμπτικού για μία διαγνωστική εξέταση ή μία θεραπεία, από τη στιγμή που γράφεται μία συνταγή, μέχρι τη στιγμή που υποβάλλεται στο διαγνωστικό κέντρο ή το φυσικοθεραπευτήριο.
Στο σύστημα αναρτάται σε μορφή PDF και το τιμολόγιο. Με αυτό τον τρόπο δεν θα μπορεί να εκτελεστεί δεύτερη φορά το ίδιο παραπεμπτικό, ενώ ο ΕΟΠΥΥ μπορεί ελέγχει και θα εκκαθαρίζει τις δαπάνες του άμεσα και εξολοκλήρου ηλεκτρονικά χωρίς να χρειάζεται να αντιπαραβάλει τα καθαυτά φύλλα των παραστατικών.
Παράλληλα, στο σύστημα είναι καταχωρημένα όλα τα ιατρικά μηχανήματα των παρόχων και τα τεχνικά χαρακτηριστικά τους, οπότε κάθε φορά που ένας ασθενής θα κάνει μία εξέταση το σύστημα θα γνωρίζει από τι δυναμικότητας μηχάνημα έγινε και ανάλογα θα γίνεται και η διαβάθμιση της χρέωσης. (Πληροφορίες από το ΣΚΑΙ)
Δεν είναι λίγες οι φορές που έχουμε αναφερθεί στο Cross-Site Scripting. Είναι μία πολύ πολύ επικίνδυνη ευπάθεια που μπορεί να σου διαλύσει το site,την φήμη και να εκθέσει τα δεδομένα των χρηστών σου. Αν δεν το πιστεύεις αυτό τότε κανένας δεν μπορεί να σε σώσει από την αφέλεια σου
Όλη η υποδομή σου βρίσκεται σε κίνδυνο και δεν έχει καμία απολύτως σημασία αν έχεις Oracle σαν βάση κ JSP,ASP με SQL ή αν έχεις πρωτόκολλα κρυπτογράφησης (HTTPS).
Δυστυχώς η ασφάλεια δεν βρίσκεται στην ατζέντα των εταιρειών και των φορέων ακόμη αλλά οι επιθέσεις εξελίσσονται με ταχύτατους ρυθμούς και οι hackers βρίσκονται σε καλύτερο επίπεδο από τους αμυνόμενους.
Ενημερώσαμε την ιστοσελίδα, αλλά ακόμη δεν επικοινώνησε κάποιος μαζί μας, γιαυτό και δεν μπορώ να σας δείξω εικόνες από το PoC. Θα σας περιγράψω όμως όσο καλύτερα μπορώ το πως μπορεί να εκμεταλλευτεί κάποιος μερικά από τα προβλήματα.
Το https://www.e-prescription.gr έχει περισσότερα από ένα προβλήματα. Θα σας αναφέρω μερικά:
HTMLi
CRSF
Unvalidated Redirect
Τι μπορεί να κάνει ο επιτιθέμενος
Να κλέψει τo Session Id του χρήστη
Να καταγράψει τις κινήσεις του ποντικιού και του πληκτρολογίου
Να κλέψει αρχεία από τον υπολογιστή του επιτιθέμενου
Να κάνει επιθέσεις DDoS
Να επιτεθεί στο Intranet
Να δημιουργήσει XSS Shell
1ο Σενάριο Επίθεσης (Client) - HTMLi
Ο επιτιθέμενος θέλει να κλέψει τους κωδικούς των χρηστών και σε αυτό το σενάριο θα χρησιμοποιήσει phishing τεχνικές που με την βοήθεια των Social media δεν θα είναι δύσκολο σας ξεγελάσει.
Τι μπορεί να κάνει με το HTMLi?
To παρακάτω link εξηγεί την ευπάθεια χωρίς να οδηγεί σε πραγματικό path που φανερώνει το κενό ασφαλείας. (Οπότε δεν χρειάζεται να το δοκιμάσετε γιατί θα λάβετε 404).
https://www.e-prescription.gr/vulnerable.php,asp,jsp?name=Παρακαλώ εισάγεται το Username σας και τον κωδικό σαςΌνομα χρήστη:
Κωδικός:
medispin
ΦΩΤΟΓΡΑΦΙΕΣ
ΜΟΙΡΑΣΤΕΙΤΕ
ΔΕΙΤΕ ΑΚΟΜΑ
ΣΧΟΛΙΑΣΤΕ
