نقص Log4j: بخش مراقبت های بهداشتی هشدار داده شده است که اقدامی انجام دهد

کارشناسان: میزان تأثیر نامشخص است، اما نهادها باید ارزیابی کنند، خطر را کاهش دهند

ماریان کولباسوک مک گی (HealthInfoSec🇧🇷 17 دسامبر، 2021

سازمان‌های بخش مراقبت‌های بهداشتی، مانند نهادها در سایر صنایع، توسط مقامات فدرال و سایرین هشدار داده می‌شوند که به دقت ارزیابی کنند که چگونه آسیب‌پذیری شدید اجرای کد از راه دور اخیراً شناسایی شده است. Apache Log4j جاوا کتابخانه ورود به سیستم ممکن است محیط آنها را تحت تأثیر قرار دهد و سپس به سرعت به این مشکل رسیدگی کند.

وزارت بهداشت و خدمات انسانی مرکز هماهنگی امنیت سایبری بخش سلامتیا HC3، در هشداری که در 10 دسامبر صادر شد، به سازمان‌های مراقبت‌های بهداشتی و بهداشت عمومی توصیه کرد که زیرساخت‌های خود را بررسی کنند تا مطمئن شوند که نسخه‌های آسیب‌پذیر Log4j را اجرا نمی‌کنند.

در این مشاوره می‌گوید: «هر سیستم آسیب‌پذیر باید ارتقا داده شود و در صورت شناسایی نسخه آسیب‌پذیر، باید بررسی کامل شبکه سازمانی برای شناسایی سوءاستفاده‌های احتمالی آغاز شود».

HC4 می‌گوید میزان دقیقی که Log3j در سراسر بخش بهداشت مستقر شده است ناشناخته است. این یک برنامه کاربردی رایج است که توسط بسیاری از شرکت ها و سازمان ها استفاده می شود ابر برنامه های کاربردی، از جمله چندین فروشنده بزرگ و معروف. بنابراین، بسیار محتمل است که بخش سلامت تحت تأثیر این آسیب‌پذیری قرار گیرد، و احتمالاً تا حد زیادی.»

مشاوره می گوید HC3 درمان آسیب پذیری را به عنوان یک اولویت بالا توصیه می کند.

Log4j منبع باز که توسط بنیاد غیرانتفاعی نرم افزار Apache نگهداری می شود، قابلیت های گزارش گیری را برای برنامه های کاربردی جاوا فراهم می کند و به طور گسترده از جمله برای نرم افزار وب سرور آپاچی استفاده می شود.

این نقص در کتابخانه Apache Log4j، نسخه‌های 2.0-beta9 تا 2.14.1 وجود دارد و آژانس امنیت سایبری و زیرساخت های ایالات متحده در یک هشدار 10 دسامبر همچنین به سازمان‌ها در همه بخش‌ها توصیه کرد که باید با بالاترین اولویت به رفع آن بپردازند.

در روز جمعه، غذا و داروی آمریکا (FDA) همچنین هشداری را در مورد نقص Log4j برای سازندگان تجهیزات پزشکی صادر کرد.

«تولیدکنندگان باید ارزیابی کنند که آیا تحت تأثیر آسیب‌پذیری قرار گرفته‌اند، خطر را ارزیابی کنند و اقدامات اصلاحی را توسعه دهند. از آنجایی که Apache Log4j به طور گسترده در نرم‌افزارها، برنامه‌ها و سرویس‌ها استفاده می‌شود، سازندگان دستگاه‌های پزشکی نیز باید ارزیابی کنند که آیا مؤلفه‌های نرم‌افزار شخص ثالث یا سرویس‌هایی که در دستگاه پزشکی یا با دستگاه پزشکی خود استفاده می‌شوند ممکن است از نرم‌افزار آسیب‌دیده استفاده کنند و فرآیند فوق را برای ارزیابی تأثیر دستگاه دنبال کنند. FDA می گوید.

FDA تاکید می کند که سازندگانی که ممکن است تحت تأثیر آسیب پذیری Log4j قرار گیرند، باید با مشتریان خود ارتباط برقرار کرده و با CISA هماهنگ کنند. "از آنجایی که این یک موضوع مداوم و همچنان در حال تحول است، ما همچنین توصیه می کنیم که هوشیاری و پاسخگویی مداوم را برای اطمینان از ایمن سازی مناسب دستگاه های پزشکی انجام دهید."

دفتر حقوق مدنی HHS، که اجرا می کند HIPAA، روز سه شنبه نیز بر اساس هشدار CISA توصیه ای صادر کرد.

"مسئله عظیم"

بنجامین دنکرز، مدیر ارشد نوآوری در شرکت می گوید، نقص Log4j "یک مشکل بزرگ در سراسر جهان است". خلوت و مشاوره امنیتی CynergisTek.

هر صنعتی هفته گذشته را صرف شناسایی و اصلاح کرده است. سهولت بهره برداری از این آسیب پذیری به سطح بالایی از پیچیدگی نیاز ندارد. بهره برداری موفق امکان اجرای کد از راه دور را فراهم می کند که به مهاجمان جای پایی در محیط می دهد.

اریک دکر، CISO سیستم ارائه مراقبت‌های بهداشتی مستقر در یوتا و رئیس مشترک کارگروه مشاوره امنیت سایبری HHS می‌گوید: «این یک مسئله جدی است و نمی‌توان آن را نادیده گرفت که سازمان‌ها چقدر سریع باید پاسخ دهند. "این به یک بازیگر بد اجازه می دهد تا کد از راه دور را علیه سرورها یا سرورهای پایین دستی که از طریق اینترنت آسیب پذیر هستند، اجرا کند. بازیگران بد از آسیب‌پذیری‌هایی مانند این به عنوان اولین گام در سازش‌های بزرگ استفاده می‌کنند.» او می گوید.

قصد می تواند سرقت اطلاعات باشد، باجافزاراو می گوید، یا سرقت مالکیت معنوی. گزارش شده است که گروه باج افزار Conti اکنون از این آسیب پذیری برای انتشار باج افزار در سیستم های داخلی سوء استفاده می کند.

دنکرز می گوید برای نهادهای بخش مراقبت های بهداشتی، Log4j بخشی از یک برنامه کاربردی بزرگتر خواهد بود. "شما لزوما نمی دانید که نصب شده است، زیرا می تواند یکی از صدها بسته بالقوه ای باشد که برای اجرای آن برنامه مورد استفاده قرار می گیرد."

کریستوفر فرنز، دستیار معاون امنیت فناوری اطلاعات بیمارستان Mount Sinai South Nassau در Oceanside، نیویورک، ارزیابی مشابهی را ارائه می دهد.

او می‌گوید: «از آنجایی که Log4j یک کتابخانه نرم‌افزاری محبوب است که در تعداد زیادی از برنامه‌های کاربردی استفاده می‌شود، به این معناست که برنامه‌های کاربردی فراوانی وجود دارد که به طور بالقوه در برابر بهره‌برداری آسیب‌پذیر هستند».

این استفاده گسترده به این معنی است که نه تنها یک سطح حمله بالقوه بزرگ وجود دارد، بلکه یک چالش برای بسیاری از سازمان‌ها است تا حتی مکان‌هایی را که در آنها آسیب‌پذیر هستند، پیدا کنند.»

CISA در حال تدوین است فهرست فرنز می‌گوید: از برنامه‌های آسیب‌پذیری که سازمان‌ها می‌توانند شروع به استفاده از آن‌ها برای ارزیابی محل آسیب‌پذیری خود کنند، اما بسیاری از فروشندگان نرم‌افزار پزشکی و تولیدکنندگان دستگاه‌های پزشکی با برنامه‌های آسیب‌پذیر هنوز در فهرست نیستند.

دکر می‌گوید که نهادها می‌توانند Log4J را در شرکت‌های خود داشته باشند و متوجه آن نباشند، زیرا کشف آن با اسکنرهای آسیب‌پذیری فعلی دشوار است.

«بسیاری از فروشندگان اجازه دسترسی اداری به لوازم خود را نمی دهند. ما باید به فرآیند افشای آسیب پذیری آنها تکیه کنیم تا بدانیم آیا نرم افزار آسیب پذیر است یا خیر. او می‌گوید فقط به این دلیل که اسکن شما آسیب‌پذیری را شناسایی نمی‌کند، فرض نکنید که هیچ نمونه‌ای از آن ندارید.

فرنز می‌گوید که او "از طرفداران طولانی مدت سازمان‌های مراقبت‌های بهداشتی بوده است که برای برنامه‌ها و دستگاه‌هایی که روی آن‌ها نصب می‌شوند، یک صورتحساب نرم‌افزاری از مواد درخواست می‌کنند، و این آسیب‌پذیری به وضوح نشان می‌دهد که چرا این مهم است."

او می‌گوید که یک لایحه نرم‌افزار مواد یا SBOM برای هر برنامه و دستگاهی، شناسایی محل وجود این آسیب‌پذیری را بسیار آسان‌تر می‌کند.

مبارزه با "FUD"

برخی از کارشناسان تاکید می کنند که نهادهای مراقبت های بهداشتی باید ارزیابی کنند که آیا تحت تأثیر آسیب پذیری Log4j قرار گرفته اند یا خیر، اما همچنین باید مشکل را در چشم انداز مناسب قرار دهند. دنیس اندرسون، رئیس مرکز تجزیه و تحلیل و اشتراک گذاری اطلاعات سلامت در بیانیه ای به گروه رسانه ای امنیت اطلاعات می گوید: «خط نهایی: Log4j در همه برنامه های IT وجود دارد و تهدیدی خاص برای سلامتی نیست.

مانند همیشه، نیاز به نادیده گرفتن بسیاری از "سر و صدا" و ترس، عدم اطمینان، شک - FUD وجود دارد - مانند 800,000 "حمله" که کمتر در مورد حملات / سوء استفاده های واقعی هستند و بیشتر در مورد افراد مختلف، از جمله محققان، اسکن می شوند. دستگاه‌های آسیب‌پذیر،» او با اشاره به گزارش‌های مختلف فروشندگان امنیتی در این هفته که در آن ادعا می‌کنند صدها هزار حمله را مسدود کرده‌اند، می‌گوید. تلاش برای سوء استفاده از نقص Log4j.

او می‌گوید: «استراتژی اصلی کاهش این است که به‌روزرسانی به نسخه 2.16.0 و حداقل به 2.15.0 در اسرع وقت - اگر نه بلافاصله - زمانی که برخی از دستگاه‌ها در یک محیط قابل بهره‌برداری هستند، ارتقا دهید. H-ISAC نیز یک را صادر کرد پژوهشنامه در مورد آسیب پذیری بخش بهداشت در 10 دسامبر.

مشاوره H-ISAC اشاره می کند که برخی از محققان گمان می کنند که برخی از بازیگران باج افزار قبلاً شروع به استفاده از آسیب پذیری برای حملات کرده اند. (نگاه کنید به: مهاجمان دولت ملت Log4j را در دست دارند).

لینک خواندن مقاله کامل در اینجا https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

• منابع و اخبار مرتبط
• گزارش چشم‌انداز تهدید مراقبت‌های بهداشتی و کمک‌های اجتماعی
• هوش مصنوعی عامل‌دار در مراقبت‌های بهداشتی، پیشنهادی پرخطر است
• Live@eXchange روز دوم - تحلیلگر امنیت تجهیزات پزشکی Health-ISAC
• Health-ISAC Hacking Healthcare 6-3-2026
• آسیب‌پذیری‌های جدید صنعت مراقبت‌های بهداشتی را هدف قرار داده‌اند
• خبرنامه ماهانه – ژوئن 2026
• آنچه واقعاً برای ایمن‌سازی مراقبت‌های بهداشتی لازم است
• موجودی دستگاه و نقشه برداری PHI با حذف HIPAA جدید، سنگین ترین کارها خواهند بود.
• Verizon DBIR: مراقبت‌های بهداشتی حملات مهندسی اجتماعی فزاینده را دفع می‌کند
• گزارش وضعیت ریسک سایبری انسانی