Zahlreiche Schwachstellen in HASOMED Elefant and Elefant Software Updater

Title

Multiple Vulnerabilities

Product

HASOMED Elefant and Elefant Software Updater

Vulnerable Version

<24.04.00, Elefant Software Updater <1.4.2.1811

Fixed Version

24.04.00, Elefant Software Updater 1.4.2.1811

CVE Number

CVE-2024-50588, CVE-2024-50589, CVE-2024-50590, CVE-2024-50591, CVE-2024-50592, CVE-2024-50593

Impact

critical

Homepage

https://hasomed.de/produkte/elefant/

Found

15.04.2024

By

Tobias Niemann, Daniel Hirschberger, Florian Stuhlmann (Office Bochum) | SEC Consult Vulnerability Lab

Mehrere Schwachstellen in der Elefant Praxissoftware erlaubten es einem unauthentifizierten Angreifer mit Zugriff auf das Praxisnetzwerk als Datenbankadministrator auf die Datenbank zuzugreifen. Ein Angreifer konnte dadurch unter anderem Patientendaten und die für die Elefant Software benötigten Logindaten auslesen oder überschreiben. Patientendaten könnten außerdem von einer ungeschützten FHIR API unauthentifiziert ausgelesen werden. In der Standardkonfiguration konnte ein lokaler Angreifer ohne administrative Privilegien die Elefant Windows Services nutzen, um seine Rechte auf dem lokalen System auszuweiten (Local Privilege Escalation). Auch im mitgelieferten zugehörigen Elefant Software Updater wurden mehrere Schwachstellen identifiziert, die ein Angreifer zur Local Privilege Escalation nutzen konnte.

Zum vollständigen Security Advisory (Englisch).

EOF Tobias Niemann, Daniel Hirschberger, Florian Stuhlmann / @2024

 

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

Zurück