🔍 Contexte

Publié le 5 mai 2026 par Trend Micro (Numaan Huq et Andre Alves), ce rapport de recherche présente les résultats d’une analyse systématique des serveurs DICOM (Digital Imaging and Communications in Medicine) exposés sur Internet, réalisée entre novembre et décembre 2025 via l’outil de scan Shodan.io.

📊 Périmètre de l’exposition

L’analyse a identifié 3 627 serveurs DICOM validés (3 542 adresses IP uniques) accessibles depuis l’internet public, répartis dans plus de 100 pays :

  • 🇺🇸 États-Unis : 1 189 serveurs (33%)
  • 🇮🇳 Inde : 445 serveurs (12%)
  • 🇧🇷 Brésil : 266 serveurs (7%)
  • 🇨🇳 Chine : 161 serveurs (4%)
  • 🇩🇪 Allemagne : 138 serveurs (4%)
  • 🇮🇷 Iran : 86 serveurs
  • 🇬🇧 Royaume-Uni : 75 serveurs
  • 97 autres pays : 1 152 serveurs

☁️ Infrastructure

  • 69% des serveurs sont hébergés on-premises via des FAI commerciaux
  • 31% sont hébergés dans le cloud : Microsoft Azure (533, soit 48% du cloud), AWS (287, 26%), Google Cloud (129, 12%)

🔓 Défaillances de sécurité critiques

  • Seulement 0,14% des serveurs (5 sur 3 627) utilisent le port TLS dédié (2762), malgré la disponibilité du chiffrement DICOM TLS depuis 1999
  • 99,56% des serveurs acceptent des connexions sans validation du titre AE (Application Entity), permettant des connexions anonymes
  • 44% des serveurs se regroupent en clusters de configurations identiques, rendant un exploit unique applicable à des centaines de cibles simultanément

🖥️ Logiciels exposés

Logiciel Serveurs Part
OFFIS DCMTK 1 583 44%
Inconnu 1 166 32%
OsiriX macOS 526 14%
pynetdicom 107 3%
dcm4che Java 80 2%
fo-dicom .NET 72 2%

Notamment, 321 installations OsiriX (61%) tournent sur la version 3.6.1 datant de 2009.

🚨 CVEs identifiées

OFFIS DCMTK :

  • CVE-2019-1010228 (CVSS 9.8) : stack buffer overflow dans DcmRLEDecoder::decompress(), RCE
  • CVE-2022-2119 / CVE-2022-2120 (CVSS 9.8/7.5) : path traversal, écriture arbitraire de fichiers
  • CVE-2024-47796 (CVSS 8.4) : out-of-bounds write via fichiers DICOM malveillants

OsiriX (Pixmeo OsiriX MD) :

  • CVE-2025-27720 (CVSSv4.0: 9.3) : transmission en clair des credentials dans le composant Web Portal
  • CVE-2025-27578 (CVSSv4.0: 8.7) : use-after-free via upload de fichier DICOM malveillant

Orthanc PACS :

  • CVE-2025-0896 (CVSS 9.8) : absence d’authentification par défaut lors de l’accès distant (versions < 1.5.8)
  • CVE-2023-33466 (CVSS 8.8) : écrasement arbitraire de fichiers via fichiers DICOM polyglots, exploit public disponible sur GitHub

🎯 Vecteurs d’attaque identifiés

  • C-FIND : énumération des dossiers patients
  • C-GET/C-MOVE : téléchargement d’images médicales et PHI
  • C-STORE : upload de fichiers DICOM malveillants pour corrompre les dossiers médicaux
  • Exploitation de CVEs : exécution de code à distance
  • Découverte via Shodan.io et Censys

🏥 Organisations exposées

334 organisations identifiables : 69% établissements de santé, 19% institutions éducatives, 12% organismes gouvernementaux.

📋 Type d’article

Il s’agit d’une publication de recherche produite par Trend Micro, dont l’objectif principal est de documenter l’exposition globale des serveurs DICOM médicaux, d’analyser la surface d’attaque technique et de promouvoir les solutions de sécurité de l’éditeur (TrendAI Vision One, Deep Discovery Inspector, TippingPoint).

🧠 TTPs et IOCs détectés

TTP

  • T1595.001 — Active Scanning: Scanning IP Blocks (Reconnaissance)
  • T1595.002 — Active Scanning: Vulnerability Scanning (Reconnaissance)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1005 — Data from Local System (Collection)
  • T1565.001 — Data Manipulation: Stored Data Manipulation (Impact)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1021 — Remote Services (Lateral Movement)
  • T1040 — Network Sniffing (Credential Access)

IOC

Malware / Outils

  • Shodan.io (tool)
  • Censys (tool)

🟢 Indice de vérification factuelle : 70/100 (haute)

  • ✅ trendmicro.com — source reconnue (liste interne) (20pts)
  • ✅ 52229 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 8 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 9 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/5 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/a-hidden-vulnerability-in-healthcare-exposed-dicom-servers-and-the-risk-to-patient-data