Le système de dossiers médicaux électroniques (DME) Philips Tasy fait face à des bugs de sécurité qui pourraient être exploitées à distance pour extraire des données personnelles sensibles des bases de données de patients.

"L'exploitation réussie de ces vulnérabilités pourrait entraîner l'exposition des données confidentielles des patients de la base de données de Tasy, donner un accès non autorisé ou créer une situation de déni de service", a déclaré la CISA dans son bulletin.

Les vulnérabilités en question sont des failles d'injection SQL (CVE-2021-39375 et CVE-2021-39376) qui affectent Tasy EMR HTML5 3.06.1803 et les versions antérieures, pouvant permettre à un attaquant de modifier les commandes de la base de données SQL, entraînant un accès non autorisé, l'exposition d'informations sensibles, voire l'exécution de commandes système arbitraires. Les deux problèmes de sécurité ont été classés dans la catégorie de gravité 8,8 sur 10.

Toutefois, il convient de noter que pour tirer parti de ces vulnérabilités, il faut que l'acteur de la menace soit déjà en possession des informations d'identification permettant d'accéder au système concerné.

"À l'heure actuelle, Philips n'a reçu aucun rapport d'exploitation de ces vulnérabilités ou d'incidents d'utilisation clinique que nous ayons pu associer à ce problème", note l'entreprise dans un avis. "L'analyse de Philips a montré qu'il est peu probable que cette vulnérabilité ait un impact sur l'utilisation clinique. L'analyse de Philips indique également qu'il n'y a pas lieu de s'attendre à un danger pour les patients en raison de ce problème."

Il est recommandé à tous les prestataires de soins de santé utilisant une version vulnérable du système DME de procéder à une mise à jour vers la version 3.06.1804 ou une version ultérieure dès que possible afin d'éviter toute exploitation potentielle.