CRITICAL🇬🇧 English

CVE-2024-50588

Elefant (Hasomed) — dostęp do bazy Firebird przez domyślne dane logowania

CVSS 9.8v3.1pub. 2024-11-08upd. 2026-04-15

Niezaufany atakujący z dostępem do sieci lokalnej gabinetu medycznego może wykorzystać znane domyślne dane uwierzytelniające, aby uzyskać zdalny dostęp DBA do bazy danych Firebird systemu Elefant. Podatność jest krytyczna ze względu na ekspozycję danych pacjentów oraz możliwość przejęcia kontroli nad serwerem.

Pokaż oryginał (EN)

An unauthenticated attacker with access to the local network of the medical office can use known default credentials to gain remote DBA access to the Elefant Firebird database. The data in the database includes patient data and login credentials among other sensitive data. In addition, this enables an attacker to create and overwrite arbitrary files on the server filesystem with the rights of the Firebird database ("NT AUTHORITY\SYSTEM").

🤖 Analiza AI
Jak działa

System Elefant firmy Hasomed korzysta z bazy danych Firebird skonfigurowanej z domyślnymi, powszechnie znانymi danymi logowania, które nie są zmieniane podczas instalacji. Atakujący w sieci lokalnej może użyć tych danych do nawiązania zdalnego połączenia z bazą z pełnymi uprawnieniami administratora bazy danych (DBA). Posiadając uprawnienia DBA w bazie Firebird działającej w kontekście konta 'NT AUTHORITY\SYSTEM', atakujący może nie tylko odczytywać i modyfikować dane w bazie, lecz także tworzyć oraz nadpisywać dowolne pliki w systemie plików serwera.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych danych medycznych pacjentów oraz danych logowania przechowywanych w bazie, a także tworzyć lub nadpisywać dowolne pliki na serwerze z uprawnieniami systemowymi (NT AUTHORITY\SYSTEM), co w praktyce oznacza pełne przejęcie kontroli nad serwerem.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. W trybie pilnym zaleca się natychmiastową zmianę domyślnych danych uwierzytelniających bazy danych Firebird, ograniczenie dostępu sieciowego do portu bazy danych wyłącznie do zaufanych hostów (firewall, segmentacja sieci) oraz monitorowanie nieautoryzowanych połączeń z bazą.

Kogo dotyczy

Oprogramowanie Elefant firmy Hasomed — wersje wskazane w referencjach producenta; dotyczy instalacji z dostępem do sieci lokalnej gabinetu medycznego

Uwagi

Podatność dotyczy systemu przeznaczonego dla gabinetów medycznych, co oznacza przetwarzanie szczególnych kategorii danych osobowych (dane zdrowotne) — incydent może rodzić obowiązki notyfikacyjne wynikające z RODO/UODO. Szczegółowe informacje techniczne zostały opublikowane na liście full-disclosure (seclists.org) w listopadzie 2024.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje