Lỗ hổng nghiêm trọng trên máy chủ y tế Orthanc DICOM cho phép tấn công từ xa

Các nhà nghiên cứu bảo mật đã phát hiện chín lỗ hổng nghiêm trọng trong Orthanc, một máy chủ DICOM (Hình ảnh Y tế số và Truyền thông) mã nguồn mở được sử dụng rộng rãi trong lĩnh vực chăm sóc sức khỏe và nghiên cứu y khoa. Những lỗ hổng này có thể bị kẻ tấn công khai thác để gây từ chối dịch vụ (DoS), lộ thông tin và thậm chí là thực thi mã từ xa (RCE).

Orthanc là một giải pháp máy chủ độc lập, nhẹ nhàng, hỗ trợ phân tích tự động các hình ảnh y tế mà không yêu cầu quản lý cơ sở dữ liệu phức tạp hay các phụ thuộc bên thứ ba. Tuy nhiên, theo khuyến cáo từ Trung tâm Phối hợp CERT (CERT/CC), phiên bản từ 1.12.10 trở về trước đang chứa các khiếm khuyết bảo mật được theo dõi từ CVE-2026-5437 đến CVE-2026-5445.

Minh họa DICOM

Chi tiết các lỗ hổng

Nguyên nhân gốc rễ của các lỗi này nằm ở việc xác thực siêu dữ liệu (metadata) không đủ, thiếu các kiểm tra cần thiết và các phép tính số học không an toàn. Dưới đây là các vấn đề chính được xác định:

• Đọc vượt vùng bộ nhớ (Out-of-bounds read): Lỗi này ảnh hưởng đến trình phân tích siêu tiêu đề (meta-header parser) do logic phân tích xác thực đầu vào không chặt chẽ.
• Tấn công giải nén GZIP: Trong quá trình xử lý các yêu cầu HTTP cụ thể, máy chủ không áp đặt giới hạn kích thước dữ liệu giải nén. Vì bộ nhớ được cấp phát dựa trên siêu dữ liệu do kẻ tấn công kiểm soát, một tải độc hại có thể được sử dụng để làm cạn kiệt bộ nhớ hệ thống.
• Xử lý tệp tin ZIP: Một lỗi làm cạn kiệt bộ nhớ khác được tìm thấy trong quy trình xử lý lưu trữ ZIP, nơi máy chủ tin vào siêu dữ liệu mô tả kích thước chưa giải nén của tệp. Điều này cho phép kẻ tấn công giả mạo giá trị kích thước và gây ra việc cấp phát bộ nhớ đệm cực lớn trong quá trình giải nén.
• Cấp phát bộ nhớ HTTP: Máy chủ HTTP được tìm thấy là cấp phát bộ nhớ trực tiếp dựa trên giá trị tiêu đề do người dùng cung cấp. Kẻ tấn công có thể tạo một yêu cầu HTTP chứa giá trị độ dài cực lớn, kích hoạt việc chấm dứt máy chủ.
• Lỗi giải nén Philips Compression: Quy trình giải nén cho định dạng nén độc quyền của Philips bị ảnh hưởng bởi lỗ hổng đọc vượt vùng, nơi các điểm đánh dấu thoát (escape markers) ở cuối luồng dữ liệu nén không được xác thực đúng cách.
• Lỗi bảng màu (Palette Color): Một điểm yếu đọc vượt vùng khác được xác định trong logic giải mã bảng tra cứu (lookup-table) cho hình ảnh Palette Color, không xác thực chỉ số điểm ảnh (pixel indices). Lỗi này có thể được khai thác thông qua các hình ảnh được tạo đặc biệt với chỉ số lớn hơn kích thước bảng màu.

Ba khiếm khuyết bảo mật cuối cùng là các vấn đề tràn bộ nhớ đệm heap ảnh hưởng đến bộ giải mã hình ảnh, logic giải mã hình ảnh Palette Color và logic phân tích cú pháp hình ảnh PAM. Việc khai thác thành công các lỗ hổng này có thể dẫn đến việc truy cập bộ nhớ ngoài phạm vi cho phép.

"Các vấn đề nghiêm trọng nhất là các tràn bộ nhớ đệm dựa trên heap trong logic phân tích và giải mã hình ảnh, có thể làm sập quy trình Orthanc và trong một số điều kiện nhất định, cung cấp đường dẫn để thực thi mã từ xa (RCE)," khuyến cáo của CERT/CC cho biết.

Khuyến nghị khắc phục

Các phiên bản Orthanc 1.12.10 và các phiên bản cũ hơn bị ảnh hưởng bởi các lỗi này. Người dùng được khuyến nghị cập nhật lên phiên bản 1.12.11, phiên bản đã giải quyết tất cả các vấn đề trên.

Các lỗ hổng này được phát hiện bởi các nhà nghiên cứu tại Machine Spirits, những người cũng đã công bố các khuyến cáo riêng của họ. Do bản chất nhạy cảm của dữ liệu y tế, việc cập nhật khẩn cấp là rất cần thiết để ngăn chặn các sự cố bảo mật tiềm tàng.