Passer au contenu principal

Faille Log4j : le secteur de la santé est averti de prendre des mesures

Selon les experts, l'ampleur de l'impact est incertaine, mais les entités doivent évaluer et atténuer les risques

Marianne Kolbasuk McGee (Sécurité de l'information sur la santé🇧🇷 17 décembre 2021

Les organisations du secteur de la santé, comme les entités d'autres secteurs, sont averties par les autorités fédérales et d'autres d'évaluer soigneusement la vulnérabilité grave d'exécution de code à distance récemment identifiée dans le Apache Log4j Java la bibliothèque de journalisation peut affecter leurs environnements, puis résoudre rapidement le problème.

Le ministère de la Santé et des Services sociaux Centre de coordination de la cybersécurité du secteur de la santé, ou HC3, dans une alerte publiée le 10 décembre, a conseillé aux organisations de soins de santé et de santé publique d'inspecter leur infrastructure pour s'assurer qu'elles n'exécutent pas de versions vulnérables de Log4j.

« Tout système vulnérable doit être mis à niveau et une enquête complète sur le réseau de l’entreprise doit être lancée pour identifier une éventuelle exploitation si une version vulnérable est identifiée », indique l’avis.

L'étendue exacte du déploiement de Log4j dans le secteur de la santé est inconnue, indique HC3. « C'est une application courante, utilisée par de nombreuses entreprises et nuage applications, y compris plusieurs fournisseurs importants et bien connus. Il est donc très probable que le secteur de la santé soit affecté par cette vulnérabilité, et peut-être à grande échelle. »

Le HC3 recommande de traiter cette vulnérabilité comme une priorité absolue, indique l'avis.

Maintenu par l'association à but non lucratif Apache Software Foundation, Log4j open source fournit des capacités de journalisation pour les applications Java et est largement utilisé, y compris pour les logiciels de serveur Web Apache.

La faille est présente dans la bibliothèque Apache Log4j, versions 2.0-beta9 à 2.14.1, et la Agence américaine de cybersécurité et de sécurité des infrastructures Dans une alerte du 10 décembre, les organisations de tous les secteurs ont également été informées qu'elles devraient aborder la résolution de ce problème avec la plus haute priorité.

Vendredi, le Administration des aliments et des médicaments a également émis une alerte concernant la faille Log4j, à destination des fabricants de dispositifs médicaux.

« Les fabricants doivent évaluer s’ils sont concernés par la vulnérabilité, évaluer le risque et élaborer des mesures correctives. Comme Apache Log4j est largement utilisé dans les logiciels, les applications et les services, les fabricants de dispositifs médicaux doivent également évaluer si les composants logiciels ou les services tiers utilisés dans ou avec leur dispositif médical peuvent utiliser le logiciel concerné et suivre le processus ci-dessus pour évaluer l’impact sur le dispositif », indique la FDA.

Les fabricants susceptibles d’être touchés par la vulnérabilité Log4j doivent communiquer avec leurs clients et se coordonner avec la CISA, recommande la FDA. « Comme il s’agit d’un problème permanent et en constante évolution, nous recommandons également de continuer à faire preuve de vigilance et de réagir pour garantir que les dispositifs médicaux sont correctement sécurisés. »

Bureau des droits civils du HHS, qui applique HIPAA, a également publié mardi un avis basé sur l'alerte de la CISA.

« Un problème majeur »

La faille Log4j est « un problème majeur à tous les niveaux », déclare Benjamin Denkers, directeur de l'innovation chez confidentialité et le cabinet de conseil en sécurité CynergisTek.

« Tous les secteurs ont passé la semaine dernière à essayer d'identifier et de corriger cette vulnérabilité. La facilité d'exploitation de cette vulnérabilité ne nécessite pas un niveau de sophistication élevé. Une exploitation réussie permet l'exécution de code à distance, ce qui donne aux attaquants un point d'entrée dans l'environnement. »

« Il s’agit d’un problème grave et on ne peut sous-estimer la rapidité avec laquelle les organisations doivent réagir », déclare Erik Decker, responsable de la sécurité des systèmes d’information du système de santé Intermountain Healthcare basé dans l’Utah et coprésident d’un groupe de travail consultatif sur la cybersécurité du HHS. « Cela permet à un acteur malveillant d’exécuter du code à distance sur des serveurs, ou des serveurs en aval, qui sont vulnérables sur Internet. Les acteurs malveillants utilisent des vulnérabilités comme celles-ci comme première étape dans des compromissions à grande échelle », dit-il.

L'intention pourrait être le vol de données, ransomware, ou vol de propriété intellectuelle, dit-il. « Il a été signalé que le gang de ransomware Conti exploite désormais cette vulnérabilité pour diffuser des ransomwares sur des systèmes internes. »

Pour les entités du secteur de la santé, Log4j ferait partie d'une mise en œuvre d'application plus vaste, explique Denkers. « On ne se rendrait pas forcément compte qu'il a été installé, car il pourrait s'agir de l'un des centaines de packages potentiels utilisés pour l'exécution de cette application. »

Christopher Frenz, vice-président adjoint chargé de la sécurité informatique à l'hôpital Mount Sinai South Nassau à Oceanside, dans l'État de New York, propose une évaluation similaire.

« Étant donné que Log4j est une bibliothèque logicielle populaire utilisée dans une multitude d’applications, cela signifie également qu’il existe une multitude d’applications potentiellement vulnérables à l’exploitation », explique-t-il.

« Cette utilisation généralisée signifie non seulement qu’il existe une grande surface d’attaque potentielle, mais aussi qu’il est difficile pour de nombreuses organisations de localiser tous les points où elles sont vulnérables. »

CISA est en train de compiler une liste des applications vulnérables que les organisations peuvent commencer à utiliser pour évaluer où elles pourraient avoir une vulnérabilité, mais de nombreux fournisseurs de logiciels médicaux et fabricants de dispositifs médicaux avec des applications vulnérables ne figurent pas encore sur la liste, explique Frenz.

Logo CISA Département de la sécurité intérieure

Decker affirme que les entités pourraient avoir Log4J dans leurs entreprises et ne pas s'en rendre compte car il est « difficile à découvrir avec les scanners de vulnérabilité actuels », dit-il.

« De nombreux fournisseurs n'autorisent pas l'accès administratif à leurs appareils. Nous devons nous fier à leur processus de divulgation des vulnérabilités pour savoir si le logiciel est vulnérable ou non. Ne présumez pas que, simplement parce que votre analyse ne détecte pas la vulnérabilité, vous n'en avez aucune instance », dit-il.

Frenz déclare qu'il est « depuis longtemps un partisan des organisations de soins de santé qui demandent une nomenclature logicielle pour les applications et les appareils qu'elles intègrent, et cette vulnérabilité illustre clairement pourquoi cela est essentiel ».

Une nomenclature logicielle, ou SBOM, pour chaque application et chaque appareil permettrait d'identifier beaucoup plus facilement où se trouve cette vulnérabilité, dit-il.

Combattre le « FUD »

Les établissements de santé doivent évaluer s’ils sont touchés par la vulnérabilité Log4j, mais ils doivent également mettre le problème en perspective, préconisent certains experts. « En résumé : Log4j est omniprésent dans les applications informatiques et ne constitue pas une menace spécifique au secteur de la santé », déclare Denise Anderson, présidente du Health Information Sharing and Analysis Center, dans une déclaration à Information Security Media Group.

« Comme toujours, il faut ignorer une grande partie du « bruit » et de la peur, de l'incertitude et du doute – FUD – tels que les 800,000 4 « attaques » qui concernent moins des attaques/exploits réels et davantage diverses personnes, y compris des chercheurs, recherchant des appareils vulnérables », dit-elle, faisant référence aux rapports de plusieurs fournisseurs de sécurité cette semaine dans lesquels ils affirment avoir déjà bloqué des centaines de milliers de tentatives d'attaque exploitant la faille LogXNUMXj.

« La stratégie d’atténuation de base consiste à effectuer une mise à niveau vers la version 2.16.0 et au minimum vers la version 2.15.0 dès que possible – voire immédiatement – ​​lorsqu’un appareil dans un environnement est confirmé comme étant exploitable », explique-t-elle. H-ISAC a également publié un bulletin sur la vulnérabilité du secteur de la santé le 10 décembre.

L'avis H-ISAC note que certains chercheurs soupçonnent que certains acteurs de ransomware ont déjà commencé à exploiter la vulnérabilité pour lancer des attaques. (Voir : Les attaquants de l'État-nation utilisent Log4j).

Lien pour lire l'article complet ici https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

  • Ressources et actualités connexes
Ce site est enregistré sur Toolset.com en tant que site de développement.