Log4j Flaw: Rabhadh don Earnáil Chúraim Sláinte Gníomh a Dhéanamh

Saineolaithe: Méid an Tionchair Éiginnte, Ach Ní mór d'Eintitis a Mheasúnú, Riosca a Mhaolú

Marianne Kolbasuk McGee (SláinteInfoSec🇧🇷 Nollaig 17, 2021

Tá eagraíochtaí na hearnála cúram sláinte, cosúil le haonáin ar fud na dtionscal eile, á rabhadh ag údaráis chónaidhme agus daoine eile chun measúnú cúramach a dhéanamh ar an gcaoi a bhfuil an leochaileacht thromchúiseach maidir le forghníomhú cianchóid a aithníodh le déanaí sa cheantar. Apache logáil 4j java d'fhéadfadh tionchar a bheith ag leabharlann logála ar a dtimpeallachtaí, agus ansin aghaidh a thabhairt go tapa ar an gceist.

An Roinn Sláinte agus Seirbhísí Daonna Ionad Comhordaithe Cibearshlándála na hEarnála Sláinte, nó HC3, i bhfoláireamh a eisíodh ar 10 Nollaig chomhairligh eagraíochtaí cúram sláinte agus sláinte poiblí suirbhé a dhéanamh ar a mbonneagar lena chinntiú nach bhfuil siad ag rith leaganacha leochaileacha de Log4j.

“Ba cheart aon chórais leochaileacha a uasghrádú, agus ba cheart tús a chur le himscrúdú iomlán ar an ngréasán fiontair chun saothrú féideartha a aithint má shainaithnítear leagan leochaileach,” a deir an comhairleoir.

Ní fios cé chomh beacht a imlonnaítear Log4j ar fud na hearnála sláinte, a deir HC3. “Is feidhmchlár coitianta é, a úsáideann go leor fiontar agus scamall iarratais, lena n-áirítear roinnt díoltóirí móra agus aitheanta. Mar sin, tá an-dócha go mbeidh tionchar ag an leochaileacht seo ar an earnáil sláinte, agus b’fhéidir go pointe mór.”

Molann HC3 go gcaithfí an leochaileacht mar ardtosaíocht, a deir an comhairleach.

Arna chothabháil ag Fondúireacht Bogearraí neamhbhrabúis Apache, soláthraíonn foinse oscailte Log4j cumais logála d'fheidhmchláir Java agus úsáidtear go forleathan é, lena n-áirítear bogearraí freastalaí gréasáin Apache.

Tá an locht i láthair i leabharlann Apache Log4j, leaganacha 2.0-beta9 go 2.14.1, agus an Gníomhaireacht um Chibearshlándáil agus Infrastruchtúr na SA i bhfoláireamh ar an 10 Nollaig chomh maith tugadh comhairle d'eagraíochtaí ar fud na n-earnálacha go léir gur cheart dóibh tabhairt faoi é a shocrú leis an tosaíocht is airde.

Dé hAoine, an Bia agus Drugaí Riarachán d'eisigh sé foláireamh faoin locht Log4j, chomh maith, dírithe ar dhéantóirí feistí leighis.

“Ba cheart do mhonaróirí a mheas an bhfuil tionchar ag an leochaileacht orthu, an riosca a mheas, agus bearta leasúcháin a fhorbairt. Toisc go n-úsáidtear Apache Log4j go forleathan ar fud na mbogearraí, na bhfeidhmchlár agus na seirbhísí, ba cheart do mhonaróirí feistí leighis a mheas freisin an bhféadfaidh comhpháirteanna nó seirbhísí bogearraí tríú páirtí a úsáidtear ina bhfeistí leighis nó lena bhfeistí leighis na bogearraí lena mbaineann a úsáid agus an próiseas thuas a leanúint chun tionchar na feiste a mheasúnú. ,” a deir an FDA.

Ba cheart do mhonaróirí a bhféadfadh leochaileacht Log4j cur isteach orthu cumarsáid a dhéanamh lena gcustaiméirí agus comhordú a dhéanamh le CISA, molann an FDA. “Ós rud é gur ceist leanúnach í seo atá ag forbairt go fóill, molaimid freisin faireachas agus freagairt leanúnach chun a chinntiú go bhfuil feistí leighis daingnithe go cuí.”

Oifig HHS um Chearta Sibhialta, a chuireann i bhfeidhm HIPAA, ar an Máirt d'eisigh freisin comhairleach bunaithe ar foláireamh CISA.

'Saincheist Mhór'

Is “saincheist ollmhór ar fad é locht Log4j,” a deir Benjamin Denkers, príomhoifigeach nuálaíochta ag príobháideachta agus comhairleoireacht slándála CynergisTek.

“Tá an tseachtain seo caite caite ag gach tionscal ag iarraidh a aithint agus a leigheas. Ní theastaíonn ardleibhéal sofaisticiúlachta chun go bhféadfaí an leochaileacht seo a shaothrú go héasca. Ligeann saothrú rathúil do chianchód a fhorghníomhú, rud a thugann cos isteach sa chomhshaol d’ionsaitheoirí.”

“Is ceist thromchúiseach í seo agus ní féidir a rá cé chomh tapa agus is gá d’eagraíochtaí freagairt a thabhairt,” a deir Erik Decker, CISO de chóras seachadta cúram sláinte bunaithe ar Utah Intermountain Healthcare agus comhchathaoirleach ar thascfhórsa comhairleach cibearshlándála HHS. “Ceadaíonn sé do dhrochghníomhaí cianchód a fhorghníomhú i gcoinne freastalaithe, nó freastalaithe iartheachtacha, atá leochaileach ar an idirlíon. Úsáideann drochghníomhaithe leochaileachtaí mar seo mar an gcéad chéim i gcomhréiteach ar scála mór.” a deir sé.

D’fhéadfadh goid sonraí a bheith i gceist, ransomware, nó goid maoine intleachtúla, a deir sé. “Tuairiscíodh go bhfuil an drong Conti ransomware ag baint leasa as an leochaileacht seo chun earraí ransom a scaoileadh ar chórais inmheánacha.”

I gcás eintitis san earnáil chúram sláinte, bheadh ​​Log4j mar chuid de chur i bhfeidhm iarratais níos mó, deir Denkers. “Ní gá go mbeadh a fhios agat gur suiteáladh é, mar d’fhéadfadh sé a bheith ar cheann de na céadta pacáiste féideartha a d’fhéadfaí a úsáid chun an feidhmchlár sin a rith.”

Tugann Christopher Frenz, leas-uachtarán cúnta ar shlándáil TF ospidéal Mount Sinai South Nassau in Oceanside, Nua-Eabhrac, measúnú den chineál céanna.

“Toisc gur leabharlann bogearraí coitianta é Log4j a úsáidtear i raidhse feidhmchlár a chiallaíonn freisin go bhfuil flúirse feidhmchlár ann a d’fhéadfadh a bheith leochaileach le húsáid,” a deir sé.

“Ciallaíonn an úsáid fhorleathan seo ní hamháin go bhfuil dromchla ionsaithe mór féideartha ann, ach go bhfuil dúshlán ann do go leor eagraíochtaí fiú na pointí go léir a bhfuil siad leochaileach a aimsiú iontu.”

Tá CISA ag tiomsú liosta d’iarratais leochaileacha ar féidir le heagraíochtaí tosú á n-úsáid chun measúnú a dhéanamh ar na háiteanna ina bhféadfadh siad a bheith leochaileach, ach níl go leor díoltóirí bogearraí leighis agus monaróirí feistí leighis a bhfuil feidhmchláir leochaileacha acu ar an liosta fós, a deir Frenz.

Deir Decker go bhféadfadh Log4J a bheith ina bhfiontair ag eintitis agus nach dtuigeann siad é toisc go bhfuil sé “deacair a fháil amach leis na scanóirí leochaileachta reatha,” a deir sé.

“Ní cheadaíonn go leor díoltóirí rochtain riaracháin ar a gcuid fearais. Ní mór dúinn brath ar a bpróiseas nochta leochaileachta chun a fháil amach an bhfuil na bogearraí leochaileach nó nach bhfuil. Ná glac leis toisc nach n-aimsíonn do scanadh an leochaileacht nach bhfuil aon chás agat uirthi,” a deir sé.

Deir Frenz go bhfuil sé “ina mhol le fada ar eagraíochtaí cúram sláinte ag iarraidh bille bogearraí ábhar le haghaidh feidhmchláir agus feistí a bhfuil siad ar bord, agus léiríonn an leochaileacht seo go soiléir cén fáth a bhfuil sé seo ríthábhachtach.”

D’fhágfadh Bille Ábhar Bogearraí, nó SBOM, do gach feidhmchlár agus feiste i bhfad níos éasca a aithint cá raibh an leochaileacht sin ann, a deir sé.

Troid 'FUD'

Ní mór d'eintitis cúram sláinte a mheas cibé an bhfuil tionchar ag leochaileacht Log4j orthu, ach ba cheart dóibh an fhadhb a chur i bpeirspictíocht chuí freisin, molann roinnt saineolaithe. “Bunlíne: Tá Log4j uileláithreach ar fud feidhmchlár TF agus ní bagairt ar leith é don tsláinte,” a deir Denise Anderson, uachtarán an Ionaid um Chomhroinnt agus Anailís ar Fhaisnéis Sláinte, i ráiteas don Ghrúpa Meán Slándála Faisnéise.

“Mar is gnáth, ní mór dearmad a dhéanamh ar go leor den ‘torann’ agus Eagla, Éiginnteacht, Amhras – FUD – ar nós 800,000 ‘ionsaí’ a bheith níos lú faoi ionsaithe/saothrú iarbhír agus níos mó faoi dhaoine éagsúla, lena n-áirítear taighdeoirí, scanadh le haghaidh feistí leochaileacha,” a deir sí, agus í ag tagairt do thuarascálacha díoltóirí slándála éagsúla an tseachtain seo ina ndeir siad go bhfuil na céadta mílte iarrachtaí ionsaithe bactha acu cheana féin ag baint leasa as an locht Log4j.

“Is í an bhunstraitéis mhaolaithe ná uasghrádú go leagan 2.16.0 agus ar a laghad go dtí 2.15.0 chomh luath agus is féidir – más rud é nach láithreach – nuair a dheimhnítear go bhfuil fearas éigin i dtimpeallacht insaothraithe,” a deir sí. D'eisigh H-ISAC freisin a feasachán faoin leochaileacht don earnáil sláinte an 10 Nollaig.

Tugann an comhairleoir H-ISAC faoi deara go bhfuil amhras ar roinnt taighdeoirí go bhfuil roinnt gníomhaithe ransomware tosaithe cheana féin ag giaráil leochaileacht ionsaithe. (Féach: Ionsaitheoirí Náisiún-Stáit Wielding Log4j).

Nasc chun alt iomlán a léamh anseo https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

• Acmhainní Gaolmhara & Nuacht
• Tuarascáil ar an Tírdhreach Bagairtí maidir le Cúram Sláinte agus Cúnamh Sóisialta
• Is togra contúirteach é hintleacht shaorga gníomhaireach sa chúram sláinte
• Live@eXchange Lá 2 – Anailísí Slándála Feistí Leighis Health-ISAC
• Sláinte-ISAC Hacking Healthcare 6-3-2026
• Leochaileachtaí Nua atá Dírithe ar an Tionscal Cúraim Sláinte
• Nuachtlitir Mhíosúil – Meitheamh 2026
• Cad is gá i ndáiríre chun Cúram Sláinte a Shlánú
• Fardal Gléasanna agus Mapáil PHI a Bheidh na hUalach is Troime nuair a Thitfidh an HIPAA Nua
• Verizon DBIR: Cuireann cúram sláinte bac ar ionsaithe innealtóireachta sóisialta méadaithe
• Tuarascáil ar Staid Riosca Cibearshlándála Daonna