В сфере медицинских информационных технологий выявлена серьёзная угроза безопасности. Как сообщается в Банке данных угроз безопасности информации (BDU) под идентификатором BDU:2026-00106, в популярном свободном программном обеспечении Orthanc, которое используется в качестве сервера для хранения и обмена медицинскими изображениями в формате DICOM, обнаружена критическая уязвимость. Эта уязвимость, получившая также идентификатор CVE-2025-0896, связана с недостаточной защитой служебных данных и может привести к массовому раскрытию конфиденциальной медицинской информации.
Детали уязвимости
Уязвимость затрагивает все версии Orthanc до 1.5.8. Проблема классифицируется как уязвимость раскрытия информации (CWE-200). Эксперты оценивают её уровень опасности как критический. Например, базовая оценка по методологии CVSS 3.1 достигает 9.8 баллов из 10 возможных. Такой высокий балл обусловлен тем, что для эксплуатации уязвимости не требуется никаких специальных привилегий или действий со стороны пользователя. Другими словами, злоумышленник, действующий удалённо через сеть, может получить несанкционированный доступ к защищаемой информации без каких-либо препятствий.
Orthanc широко используется в медицинских учреждениях и исследовательских центрах по всему миру в качестве лёгкой и кроссплатформенной альтернативы коммерческим PACS-системам. Этот сервер хранит не только сами медицинские снимки, такие как рентгенограммы или результаты МРТ, но и сопутствующие метаданные. Эти метаданные часто содержат персональные данные пациентов, включая имена, даты рождения и информацию о проведённых исследованиях. Следовательно, успешная атака может привести к утечке крайне чувствительной информации.
Технически уязвимость позволяет злоумышленнику получить доступ к служебным данным, которые должны быть защищены. Хотя точный механизм эксплуатации в открытых источниках пока детально не описан, высокая оценка CVSS указывает на простоту потенциальной атаки. Вектор атаки оценивается как сетевой, что означает возможность проведения атаки без физического доступа к системе. Основным способом эксплуатации указан несанкционированный сбор информации. При этом, на момент публикации записи в BDU, наличие публичного эксплойта, то есть готовой вредоносной программы для использования этой уязвимости, ещё уточняется.
Важно отметить, что разработчики Orthanc уже отреагировали на угрозу. Согласно данным из BDU, статус уязвимости подтверждён производителем, и она была устранена. Единственной рекомендуемой мерой защиты является немедленное обновление программного обеспечения до версии 1.5.8 или более поздней. Администраторам всех систем, где развёрнут Orthanc, следует как можно скорее применить это обновление, чтобы закрыть опасную брешь. Кроме того, в качестве дополнительных мер предосторожности стоит рассмотреть усиление сетевой безопасности, например, ограничение доступа к интерфейсу Orthanc с помощью межсетевых экранов и размещение системы в изолированном сегменте сети.
Данный инцидент ярко иллюстрирует постоянные вызовы в области кибербезопасности критически важной инфраструктуры, к которой, безусловно, относятся медицинские учреждения. Уязвимости в таком ПО, как Orthanc, представляют собой особый риск, поскольку затрагивают непосредственно конфиденциальность и безопасность пациентов. Регулярное обновление программного обеспечения остаётся одним из фундаментальных и наиболее эффективных принципов защиты. Между тем, медицинским организациям необходимо внедрять комплексный подход, включающий мониторинг угроз, регулярный аудит безопасности и обучение персонала, чтобы противостоять подобным рискам. Обнаружение этой критической уязвимости служит своевременным напоминанием о важности превентивного подхода к безопасности в здравоохранении.
