Chyba Log4j: Zdravotní sektor varován, aby přijal opatření

Experti: Rozsah dopadu nejistý, ale subjekty musí posoudit, zmírnit riziko

Marianne Kolbasuk McGee (HealthInfoSec🇧🇷 December 17, 2021

Organizace zdravotnického sektoru, stejně jako subjekty v jiných průmyslových odvětvích, jsou varovány federálními úřady a dalšími, aby pečlivě posoudily, jak nedávno zjištěná závažná zranitelnost vzdáleného spouštění kódu ve Apache Log4j Java logovací knihovna by mohla ovlivnit jejich prostředí a poté problém rychle vyřešit.

Ministerstvo zdravotnictví a sociálních služeb Koordinační centrum pro kybernetickou bezpečnost ve zdravotnictví, nebo HC3, ve varování vydaném 10. prosince doporučovalo zdravotnickým a veřejným zdravotnickým organizacím, aby prozkoumaly svou infrastrukturu, aby se ujistily, že nepoužívají zranitelné verze Log4j.

„Všechny zranitelné systémy by měly být upgradovány a mělo by být zahájeno úplné prozkoumání podnikové sítě, aby se zjistilo možné zneužití, pokud je identifikována zranitelná verze,“ uvádí se v doporučení.

Přesný rozsah, v jakém je Log4j nasazen v celém sektoru zdravotnictví, není znám, říká HC3. „Je to běžná aplikace, kterou využívá mnoho podniků a podniků mrak aplikací, včetně několika velkých a známých prodejců. Proto je vysoce pravděpodobné, že zdravotní sektor je touto zranitelností zasažen, a to možná ve velkém měřítku.“

HC3 doporučuje považovat zranitelnost za vysokou prioritu, uvádí se v doporučení.

Open-source Log4j, spravovaný neziskovou organizací Apache Software Foundation, poskytuje možnosti protokolování pro aplikace Java a je široce používán, včetně softwaru webového serveru Apache.

Chyba je přítomna v knihovně Apache Log4j, verze 2.0-beta9 až 2.14.1, a Americká agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury ve výstraze z 10. prosince také doporučil organizacím napříč všemi sektory, že by měly přistupovat k nápravě s nejvyšší prioritou.

V pátek se Food and Drug Administration také vydalo upozornění na chybu Log4j zaměřené na výrobce zdravotnických prostředků.

„Výrobci by měli posoudit, zda jsou zranitelností postiženi, vyhodnotit riziko a vyvinout nápravná opatření. Vzhledem k tomu, že Apache Log4j je široce používán napříč softwarem, aplikacemi a službami, měli by výrobci zdravotnických prostředků také vyhodnotit, zda softwarové komponenty nebo služby třetích stran používané v jejich zdravotnických pomůckách nebo s nimi mohou dotčený software používat, a postupovat podle výše uvedeného postupu k posouzení dopadu zařízení. “ říká FDA.

Výrobci, kteří mohou být postiženi zranitelností Log4j, by měli komunikovat se svými zákazníky a koordinovat se s CISA, vyzývá FDA. "Protože se jedná o pokračující a stále se vyvíjející problém, doporučujeme také neustálou ostražitost a reakci, aby bylo zajištěno, že zdravotnické prostředky budou náležitě zabezpečeny."

Úřad pro občanská práva HHS, který prosazuje HIPAA, v úterý také vydalo upozornění na základě výstrahy CISA.

'Masivní problém'

Chyba Log4j je „rozsáhlým problémem,“ říká Benjamin Denkers, ředitel pro inovace ve společnosti soukromí a bezpečnostní poradenství CynergisTek.

„Každý průmysl se poslední týden snažil identifikovat a napravit. Snadné využití této chyby zabezpečení nevyžaduje vysokou úroveň sofistikovanosti. Úspěšné využití umožňuje vzdálené spouštění kódu, což dává útočníkům oporu v prostředí.“

„Je to vážný problém a nelze bagatelizovat, jak rychle musí organizace reagovat,“ říká Erik Decker, CISO ze systému poskytování zdravotní péče Intermountain Healthcare se sídlem v Utahu a spolupředseda poradní pracovní skupiny HHS pro kybernetickou bezpečnost. „Umožňuje špatnému herci spustit vzdálený kód proti serverům nebo downstream serverům, které jsou zranitelné přes internet. Špatní herci používají zranitelnosti, jako je tato, jako svůj první krok k rozsáhlým kompromisům.“ říká.

Záměrem může být krádež dat, Ransomware, nebo krádež duševního vlastnictví, říká. "Bylo oznámeno, že gang Conti ransomware nyní využívá tuto zranitelnost k uvolnění ransomwaru na interních systémech."

Pro subjekty v sektoru zdravotnictví by Log4j byl součástí větší implementace aplikace, říká Denkers. "Nemusíte nutně vědět, že byl nainstalován, protože by to mohl být jeden ze stovek potenciálních balíčků používaných pro spuštění této aplikace."

Christopher Frenz, asistent viceprezidenta IT bezpečnosti nemocnice Mount Sinai South Nassau v Oceanside ve státě New York, nabízí podobné hodnocení.

„Protože Log4j je oblíbená softwarová knihovna používaná v nepřeberném množství aplikací, znamená to také, že existuje velké množství aplikací, které jsou potenciálně zranitelné vůči zneužití,“ říká.

"Toto rozšířené použití znamená, že existuje nejen velký potenciální útok, ale pro mnoho organizací je to výzva, aby dokonce lokalizovaly všechny body, na kterých jsou zranitelné."

CISA se kompiluje seznam zranitelných aplikací, které mohou organizace začít používat k posouzení, kde by mohla být zranitelná, ale mnoho prodejců lékařského softwaru a výrobců zdravotnických zařízení se zranitelnými aplikacemi ještě není na seznamu, říká Frenz.

Decker říká, že entity mohou mít Log4J ve svých podnicích a neuvědomují si to, protože je „obtížné odhalit se současnými skenery zranitelnosti,“ říká.

„Mnoho prodejců neumožňuje administrativní přístup ke svým spotřebičům. Musíme se spolehnout na jejich proces odhalování zranitelnosti, abychom věděli, zda je software zranitelný nebo ne. Nepředpokládejte jen proto, že vaše skenování nezjistilo zranitelnost, že nemáte žádné její instance,“ říká.

Frenz říká, že je „dlouholetým zastáncem zdravotnických organizací požadujících softwarový kusovník pro aplikace a zařízení, která mají na palubě, a tato zranitelnost jasně ilustruje, proč je to kritické.

Softwarový kusovník nebo SBOM pro každou aplikaci a zařízení by podle něj mnohem snáze určil, kde se tato zranitelnost vyskytuje.

Boj s 'FUD'

Zdravotnické subjekty musí posoudit, zda byly postiženy zranitelností Log4j, ale měly by také dát problém do správné perspektivy, vyzývají někteří odborníci. „Sečteno a podtrženo: Log4j je všudypřítomný v aplikacích IT a nepředstavuje hrozbu specifickou pro zdraví,“ říká Denise Anderson, prezidentka Centra pro sdílení a analýzu zdravotnických informací, v prohlášení pro Information Security Media Group.

„Jako vždy je potřeba přehlédnout spoustu ‚hluku‘ a strachu, nejistoty, pochybností – FUD – jako je 800,000 4 ‚útoků‘ méně o skutečných útocích/vykořisťování a více o různých lidech, včetně výzkumníků, kteří hledají zranitelná zařízení,“ říká s odkazem na zprávy různých dodavatelů zabezpečení z tohoto týdne, ve kterých tvrdí, že již zablokovali stovky tisíc pokusů o útok využívající chybu LogXNUMXj.

„Základní strategií zmírňování je upgradovat na verzi 2.16.0 a minimálně na 2.15.0 co nejdříve – ne-li okamžitě – když se potvrdí, že některé zařízení v prostředí je zneužitelné,“ říká. H-ISAC také vydal a bulletin o zranitelnosti zdravotnického sektoru 10. prosince.

Poradenství H-ISAC uvádí, že někteří výzkumníci mají podezření, že někteří aktéři ransomwaru již začali využívat zranitelnost pro útoky. (Vidět: Útočníci národního státu ovládající Log4j).

Odkaz na přečtení celého článku zde https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

• Související zdroje a zprávy
• Zpráva o hrozbách v oblasti zdravotní péče a sociální pomoci
• Agentní umělá inteligence ve zdravotnictví je riskantní návrh
• Live@eXchange, 2. den – Analytik bezpečnosti zdravotnických prostředků Health-ISAC
• Health-ISAC Hacking Healthcare 6-3-2026
• Nové zranitelnosti zaměřené na zdravotnictví
• Měsíční zpravodaj – červen 2026
• Co je skutečně potřeba k zajištění zdravotní péče
• Inventář zařízení a mapování PHI budou nejtěžší po zavedení nového HIPAA.
• Verizon DBIR: Zdravotnictví odráží rostoucí počet útoků sociálního inženýrství
• Zpráva o stavu kybernetických rizik pro lidi