انتقل إلى المحتوى الرئيسي

ثغرة في Log4j: تحذير لقطاع الرعاية الصحية من اتخاذ الإجراءات اللازمة

خبراء: مدى التأثير غير مؤكد، لكن يجب على الكيانات تقييم المخاطر والتخفيف منها

ماريان كولباسوك ماكجي (معلومات صحية) • 17 كانون الأول، 2021

يتم تحذير منظمات قطاع الرعاية الصحية، مثل الكيانات في مختلف الصناعات الأخرى، من قبل السلطات الفيدرالية وغيرها من الجهات لتقييم مدى خطورة ثغرة تنفيذ التعليمات البرمجية عن بعد التي تم تحديدها مؤخرًا في أباتشي Log4j جافا قد تؤثر مكتبة التسجيل على بيئاتها، ومن ثم يجب معالجة المشكلة بسرعة.

وزارة الصحة والخدمات الإنسانية مركز تنسيق الأمن السيبراني في قطاع الصحةأصدرت شركة HC3، في تنبيه بتاريخ 10 ديسمبر، تحذيرًا لمنظمات الرعاية الصحية والصحة العامة بفحص بنيتها التحتية للتأكد من أنها لا تعمل على تشغيل إصدارات معرضة للخطر من Log4j.

وتقول الاستشارة: "يجب ترقية أي أنظمة معرضة للخطر، ويجب البدء في تحقيق كامل في شبكة المؤسسة لتحديد الاستغلال المحتمل إذا تم تحديد إصدار معرض للخطر".

وتقول شركة HC4 إن المدى الدقيق الذي يتم به نشر Log3j في جميع أنحاء قطاع الصحة غير معروف. "إنه تطبيق شائع، يستخدمه العديد من المؤسسات والشركات. سحابة "تتضمن التطبيقات العديد من البائعين الكبار والمعروفين. وبالتالي، فمن المرجح للغاية أن يتأثر قطاع الصحة بهذه الثغرة الأمنية، وربما على نطاق واسع."

توصي شركة HC3 بمعالجة الثغرة الأمنية كأولوية قصوى، وفقًا للنصيحة.

يوفر برنامج Log4j مفتوح المصدر، الذي تديره مؤسسة Apache Software Foundation غير الربحية، إمكانيات التسجيل لتطبيقات Java ويُستخدم على نطاق واسع، بما في ذلك برنامج خادم الويب Apache.

الخلل موجود في مكتبة Apache Log4j، الإصدارات من 2.0-beta9 إلى 2.14.1، و وكالة الأمن السيبراني الأمريكية وأمن البنية التحتية وفي تنبيه صدر في 10 ديسمبر، نصحت أيضًا المنظمات في جميع القطاعات بضرورة التعامل مع المشكلة بأعلى درجة من الأولوية.

يوم الجمعة، و الغذاء والدواء أصدرت أيضًا تنبيهًا بشأن الخلل في Log4j، موجهًا إلى مصنعي الأجهزة الطبية.

وتقول إدارة الغذاء والدواء الأمريكية: "يتعين على الشركات المصنعة تقييم ما إذا كانت متأثرة بالثغرة الأمنية، وتقييم المخاطر، وتطوير إجراءات الإصلاح. ونظرًا لاستخدام Apache Log4j على نطاق واسع في البرامج والتطبيقات والخدمات، فيتعين على الشركات المصنعة للأجهزة الطبية أيضًا تقييم ما إذا كانت مكونات أو خدمات البرامج التابعة لجهات خارجية المستخدمة في أجهزتها الطبية أو معها قد تستخدم البرنامج المتأثر واتباع العملية المذكورة أعلاه لتقييم تأثير الجهاز".

وتحث إدارة الغذاء والدواء الشركات المصنعة التي قد تتأثر بثغرة Log4j على التواصل مع عملائها والتنسيق مع وكالة الأمن السيبراني والرقابة. "نظرًا لأن هذه مشكلة مستمرة ومتطورة، فإننا نوصي أيضًا باليقظة المستمرة والاستجابة لضمان تأمين الأجهزة الطبية بشكل مناسب".

مكتب الحقوق المدنية التابع لوزارة الصحة والخدمات الإنسانية، والذي ينفذ (HIPAA)وأصدرت الولايات المتحدة أيضًا يوم الثلاثاء استشارة بناءً على تنبيه وكالة الأمن السيبراني والبنية التحتية.

"مشكلة ضخمة"

يقول بنيامين دينكرز، كبير مسؤولي الابتكار في شركة Log4j: "إن الخلل في LogXNUMXj هو مشكلة ضخمة في جميع المجالات". خصوصية والاستشارات الأمنية CynergisTek.

"لقد أمضت كل الصناعات الأسبوع الماضي في محاولة تحديد الثغرة الأمنية وإصلاحها. ولا تتطلب سهولة استغلال هذه الثغرة الأمنية مستوى عاليًا من التعقيد. ويتيح الاستغلال الناجح تنفيذ التعليمات البرمجية عن بُعد، مما يمنح المهاجمين موطئ قدم في البيئة."

يقول إريك ديكر، كبير مسؤولي أمن المعلومات في شركة إنترماونتين هيلث كير، وهي شركة لتقديم الرعاية الصحية مقرها يوتا، والرئيس المشارك لفريق عمل استشاري للأمن السيبراني في وزارة الصحة والخدمات الإنسانية: "هذه مشكلة خطيرة ولا يمكن التقليل من أهمية سرعة استجابة المنظمات لها. فهي تسمح للجهات الخبيثة بتنفيذ التعليمات البرمجية عن بعد ضد الخوادم، أو الخوادم الموجودة في اتجاه مجرى النهر، والتي تكون عرضة للخطر عبر الإنترنت. ويستخدم الجهات الخبيثة نقاط الضعف مثل هذه كخطوة أولى في الاختراقات واسعة النطاق".

قد يكون القصد سرقة البيانات، الفدية"أو سرقة الملكية الفكرية، كما يقول. "لقد ورد أن عصابة Conti ransomware تستغل الآن هذه الثغرة الأمنية لإطلاق برامج الفدية على الأنظمة الداخلية."

يقول دينكرز إن Log4j سيكون جزءًا من تطبيق أكبر حجمًا بالنسبة للكيانات العاملة في قطاع الرعاية الصحية. "لن تعرف بالضرورة أنه تم تثبيته، لأنه قد يكون أحد مئات الحزم المحتملة التي يتم استخدامها لتشغيل هذا التطبيق."

ويقدم كريستوفر فرينز، نائب الرئيس المساعد لأمن تكنولوجيا المعلومات في مستشفى ماونت سيناي ساوث ناسو في أوشنسايد بنيويورك، تقييماً مماثلاً.

"نظرًا لأن Log4j هي ​​مكتبة برمجيات شائعة الاستخدام في عدد كبير من التطبيقات، فهذا يعني أيضًا وجود وفرة من التطبيقات التي قد تكون عرضة للاستغلال"، كما يقول.

"يعني هذا الاستخدام الواسع النطاق ليس فقط وجود سطح هجوم محتمل كبير، ولكن أيضًا تحديًا للعديد من المنظمات لتحديد جميع النقاط التي تكون عرضة للخطر فيها."

تقوم CISA بتجميع قائمة يقول فرينز إن هناك عددًا كبيرًا من التطبيقات المعرضة للخطر والتي يمكن للمنظمات أن تبدأ في استخدامها لتقييم مكان وجود الثغرة الأمنية، ولكن العديد من بائعي البرامج الطبية ومصنعي الأجهزة الطبية الذين لديهم تطبيقات معرضة للخطر لم يتم إدراجهم على القائمة بعد.

شعار وكالة الأمن الداخلي CISA

يقول ديكر إن الكيانات قد يكون لديها Log4J في مؤسساتها ولا تدرك ذلك لأنه "من الصعب اكتشافه باستخدام ماسحات الثغرات الأمنية الحالية"، على حد قوله.

"لا يسمح العديد من البائعين بالوصول الإداري إلى أجهزتهم. يجب أن نعتمد على عملية الكشف عن الثغرات الأمنية لمعرفة ما إذا كان البرنامج معرضًا للخطر أم لا. لا تفترض أنه ليس لديك أي حالات من هذا النوع لمجرد أن الفحص الذي أجريته لم يكشف عن الثغرة الأمنية"، كما يقول.

يقول فرينز إنه كان "من المؤيدين منذ فترة طويلة لطلب منظمات الرعاية الصحية الحصول على قائمة مواد برمجية للتطبيقات والأجهزة التي يستخدمونها، وهذه الثغرة الأمنية توضح بوضوح سبب أهمية هذا الأمر".

ويقول إن وجود قائمة مواد برمجية لكل تطبيق وجهاز من شأنه أن يجعل تحديد مكان وجود هذه الثغرة الأمنية أسهل بكثير.

مكافحة "الشكوك والمخاوف"

ويحث بعض الخبراء كيانات الرعاية الصحية على تقييم ما إذا كانت قد تأثرت بثغرة Log4j، ولكن يجب عليها أيضًا وضع المشكلة في المنظور الصحيح. وتقول دينيس أندرسون، رئيسة مركز تبادل وتحليل المعلومات الصحية، في بيان لمجموعة Information Security Media Group: "خلاصة القول: إن Log4j منتشر في جميع تطبيقات تكنولوجيا المعلومات ولا يشكل تهديدًا خاصًا بالصحة".

"كما هو الحال دائمًا، هناك حاجة إلى التغاضي عن الكثير من "الضوضاء" والخوف وعدم اليقين والشك - FUD - مثل 800,000 "هجوم" أقل بسبب الهجمات/الاستغلالات الفعلية وأكثر بسبب أشخاص مختلفين، بما في ذلك الباحثين، الذين يبحثون عن الأجهزة المعرضة للخطر،" كما تقول، في إشارة إلى تقارير العديد من موردي الأمن هذا الأسبوع والتي يزعمون فيها أنهم منعوا بالفعل مئات الآلاف من محاولات الهجوم التي تستغل ثغرة Log4j.

"إن استراتيجية التخفيف الأساسية هي الترقية إلى الإصدار 2.16.0 وعلى الأقل إلى 2.15.0 في أقرب وقت ممكن - إن لم يكن على الفور - عندما يتم التأكد من أن بعض الأجهزة في البيئة قابلة للاستغلال"، كما تقول. كما أصدرت H-ISAC نشرة حول الضعف الذي يواجهه القطاع الصحي في 10 ديسمبر.

وتشير استشارة H-ISAC إلى أن بعض الباحثين يشتبهون في أن بعض الجهات الفاعلة في مجال برامج الفدية قد بدأت بالفعل في استغلال الثغرة الأمنية لشن هجمات. (انظر: مهاجمون من دول قومية يستخدمون Log4j).

رابط لقراءة المقال كاملا هنا https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

النشرة الشهرية – يناير 2022
إشعارات Apache Log4j