Krytyczne luki w Orthanc DICOM: ryzyko awarii, wycieku danych i potencjalnego RCE

Wprowadzenie do problemu / definicja

Orthanc to popularny, otwartoźródłowy serwer DICOM wykorzystywany w środowiskach medycznych do przechowywania, przetwarzania i udostępniania obrazów diagnostycznych. Ujawnienie dziewięciu podatności pokazuje, iż choćby lekkie i szeroko wdrażane komponenty PACS/DICOM mogą stać się celem ataków prowadzących do odmowy usługi, ujawnienia danych z pamięci procesu, a w najpoważniejszych scenariuszach także do potencjalnego zdalnego wykonania kodu.

W skrócie

W Orthanc zidentyfikowano dziewięć luk oznaczonych jako CVE-2026-5437 do CVE-2026-5445. Problemy dotyczą wersji 1.12.10 i starszych, a ich źródłem są głównie błędy walidacji metadanych, brak kontroli granic oraz niebezpieczne operacje arytmetyczne podczas obsługi żądań HTTP, archiwów i dekodowania obrazów DICOM. Skutki obejmują awarie procesu, wycieki danych z pamięci sterty, wyczerpanie zasobów oraz możliwość osiągnięcia ścieżki prowadzącej do RCE. Zalecaną wersją naprawczą jest 1.12.11.

Kontekst / historia

Orthanc jest szeroko stosowany w ochronie zdrowia i badaniach medycznych jako samodzielny serwer DICOM upraszczający integrację systemów obrazowania bez konieczności utrzymywania rozbudowanej infrastruktury. Z tego powodu jego bezpieczeństwo ma bezpośredni wpływ na ciągłość działania procesów klinicznych i technicznych.

Opisane podatności zostały ujawnione publicznie na początku kwietnia 2026 roku. Badacze wskazali, iż obejmują one zarówno ścieżki wejściowe dostępne przez HTTP, jak i logikę dekodowania obrazów medycznych. To szczególnie istotne w środowiskach, w których serwer przetwarza dane pochodzące z aparatów diagnostycznych, systemów pośredniczących, integratorów oraz manualnie importowanych plików.

Analiza techniczna

Zestaw podatności można podzielić na trzy główne klasy: out-of-bounds read, heap buffer overflow oraz resource exhaustion. Każda z nich dotyka innego etapu przetwarzania danych, ale wszystkie mają wspólny mianownik: niewystarczającą kontrolę wejścia i błędne założenia dotyczące rozmiarów oraz struktury danych.

Pierwsza grupa obejmuje odczyty poza dozwolonym obszarem pamięci. Dotyczy to parsera meta-headerów DICOM, dekodera formatu kompresji Philips oraz logiki dekodowania tablic LUT dla obrazów typu Palette Color. W praktyce oznacza to, iż odpowiednio przygotowany plik może doprowadzić do odczytu danych spoza zaalokowanego bufora, co może skutkować ujawnieniem fragmentów pamięci sterty lub niestabilnością procesu.

Druga grupa to przepełnienia bufora na stercie. Najpoważniejsze przypadki występują w dekoderze obrazów DICOM, logice przetwarzania obrazów Palette Color oraz parserze obrazów PAM osadzonych w plikach DICOM. Problem wynika z błędnej obsługi wymiarów obrazu i obliczeń rozmiaru buforów, w tym użycia zbyt wąskich typów liczbowych i braku ochrony przed overflow podczas mnożenia parametrów. Tego rodzaju błąd może prowadzić do alokacji zbyt małego bufora, a następnie do zapisu większej ilości danych, co otwiera drogę do korupcji pamięci i potencjalnego wykonania kodu.

Trzecia grupa dotyczy wyczerpania zasobów. Serwer akceptował nieograniczone lub niewłaściwie weryfikowane wartości podczas przetwarzania żądań HTTP z kompresją gzip, archiwów ZIP oraz nagłówka Content-Length. Napastnik może więc dostarczyć niewielki ładunek, który po dekompresji lub wskutek zaufania do fałszywych metadanych wywoła próbę alokacji bardzo dużych buforów. Efektem jest skokowe zużycie pamięci i przerwanie działania usługi.

Szczególnie niebezpieczne jest to, iż część błędów może zostać uruchomiona nie tylko przez bezpośrednie żądanie sieciowe, ale również podczas późniejszego przetwarzania wcześniej zapisanego złośliwego pliku DICOM. Oznacza to ryzyko trwałego umieszczenia złośliwego ładunku w repozytorium obrazów i jego aktywacji dopiero podczas podglądu, transkodowania lub eksportu.

Konsekwencje / ryzyko

Wpływ tych podatności na środowiska medyczne jest poważny, ponieważ dotyczy systemów obsługujących dane diagnostyczne oraz procesy kliniczne. W podstawowym scenariuszu atakujący może doprowadzić do niestabilności usługi i zatrzymania przetwarzania badań obrazowych. choćby krótkotrwała niedostępność systemu DICOM może zakłócić rejestrację, opis badań i wymianę danych między systemami.

Istotne jest także ryzyko poufności. Odczyt spoza bufora może ujawnić fragmenty danych znajdujących się w pamięci procesu, takie jak obrazy, metadane badań, identyfikatory techniczne lub inne informacje przetwarzane przez aplikację. W organizacjach objętych rygorami ochrony danych medycznych może to prowadzić do konsekwencji regulacyjnych i reputacyjnych.

Najwyższy poziom ryzyka dotyczy błędów prowadzących do korupcji pamięci. Choć nie każde przepełnienie bufora automatycznie kończy się przejęciem procesu, obecność takich podatności w parserach plików i dekoderach obrazów powinna być traktowana jako potencjalna ścieżka do RCE, zwłaszcza gdy usługa jest dostępna z szerszej sieci lub działa z podwyższonymi uprawnieniami.

Rekomendacje

Podstawowym działaniem naprawczym jest pilna aktualizacja Orthanc do wersji 1.12.11 lub nowszej. Organizacje powinny nadać temu priorytet, szczególnie jeżeli serwer jest dostępny przez sieć, obsługuje import plików od wielu podmiotów albo pełni funkcję centralnego repozytorium obrazów.

• Ograniczyć dostęp do interfejsów HTTP i funkcji uploadu wyłącznie do zaufanych sieci oraz uwierzytelnionych użytkowników.
• Odseparować serwery DICOM od sieci ogólnej i Internetu poprzez segmentację oraz ścisłe reguły dostępu.
• Monitorować zużycie pamięci, awarie procesu i nietypowe restarty pod kątem prób eksploatacji błędów DoS.
• Analizować importowane pliki DICOM i archiwa pod kątem anomalii rozmiaru, nietypowych metadanych oraz osadzonych formatów graficznych.
• Ograniczyć uprawnienia procesu i uruchamiać usługę zgodnie z zasadą najmniejszych uprawnień.
• Przeprowadzić przegląd logów pod kątem błędów dekodowania obrazów, nietypowych wartości Content-Length oraz podejrzanych operacji dekompresji.
• Zweryfikować, czy w repozytorium nie znajdują się wcześniej zaimportowane uszkodzone lub złośliwe pliki, które mogłyby aktywować podatność w późniejszym etapie pracy systemu.

W środowiskach o podwyższonej krytyczności warto dodatkowo rozważyć reverse proxy z limitami rozmiaru żądań, kontrolę typów przesyłanych danych oraz sandboxing komponentów odpowiedzialnych za dekodowanie obrazów.

Podsumowanie

Nowe luki w Orthanc potwierdzają, iż bezpieczeństwo parserów i dekoderów danych medycznych pozostaje jednym z kluczowych obszarów ryzyka w sektorze ochrony zdrowia. Dziewięć ujawnionych błędów obejmuje zarówno klasyczne problemy z walidacją wejścia, jak i groźne przypadki korupcji pamięci oraz wyczerpania zasobów. Dla administratorów i zespołów bezpieczeństwa oznacza to konieczność szybkiego patchowania, ograniczenia ekspozycji interfejsów oraz dokładnego monitorowania ścieżek importu i przetwarzania danych DICOM.

Źródła

1. SecurityWeek — https://www.securityweek.com/orthanc-dicom-vulnerabilities-lead-to-crashes-rce/
2. CERT Coordination Center, VU#536588: Multiple Heap Buffer Overflows in Orthanc DICOM Server — https://kb.cert.org/vuls/id/536588
3. Machine Spirits Security Advisories — https://www.machinespirits.com/advisory/