Log4j Flaw: Roinn Cùram Slàinte air a rabhadh a dhol an gnìomh

Eòlaichean: Meud a 'bhuaidh mì-chinnteach, ach feumaidh buidhnean measadh, lùghdachadh cunnart

Marianne Kolbasuk McGee (SlàinteInfoSec🇧🇷 Dùbhlachd 17, 2021

Tha ùghdarrasan feadarail agus feadhainn eile a’ toirt rabhadh do bhuidhnean san roinn cùram slàinte, mar bhuidhnean thar ghnìomhachasan eile, measadh faiceallach a dhèanamh air mar a chaidh an droch chugallachd ann an cur an gnìomh còd iomallach a chaidh a chomharrachadh o chionn ghoirid. Apache log 4j java Dh’ fhaodadh leabharlann logaidh buaidh a thoirt air na h-àrainneachdan aca, agus an uairsin dèiligeadh ris a’ chùis gu sgiobalta.

Roinn na Slàinte agus Seirbheisean Daonna Ionad Co-òrdanachaidh Cybersecurity Roinn Slàinte, no HC3, ann an rabhadh a chaidh a chuir a-mach Dùbhlachd.

“Bu chòir siostaman so-leònte sam bith ùrachadh, agus bu chòir làn sgrùdadh a dhèanamh air an lìonra iomairt gus brath a chomharrachadh ma thèid dreach so-leònte a chomharrachadh," tha an comhairliche ag ràdh.

Chan eil fios dè an ìre gu bheil Log4j air a chleachdadh air feadh roinn na slàinte, tha HC3 ag ràdh. “Is e tagradh cumanta a th’ ann, air a chleachdadh le mòran iomairt agus neul tagraidhean, a’ toirt a-steach grunn luchd-reic mòr agus ainmeil. Mar sin, tha e glè choltach gum bi an so-leòntachd seo a’ toirt buaidh air roinn na slàinte, agus is dòcha gu ìre mhòr. ”

Tha HC3 a’ moladh gun tèid dèiligeadh ri so-leòntachd mar phrìomhachas àrd, tha an comhairliche ag ràdh.

Air a chumail suas leis an Apache Software Foundation neo-phrothaideach, tha Log4j le còd fosgailte a’ toirt seachad comasan logaidh airson tagraidhean Java agus air a chleachdadh gu farsaing, a’ toirt a-steach bathar-bog frithealaiche lìn Apache.

Tha an locht an làthair ann an leabharlann Apache Log4j, dreachan 2.0-beta9 gu 2.14.1, agus an Buidheann Tèarainteachd Cybersecurity agus Bun-structair na SA ann an rabhadh bhon Dùbhlachd 10 cuideachd chomhairlich buidhnean thar gach roinn gum bu chòir dhaibh a bhith ga rèiteachadh leis a' phrìomhachas as àirde.

Air Dihaoine, an Rianachd Bidhe is Drugaichean chuir iad a-mach rabhadh mun locht Log4j, cuideachd, ag amas air luchd-dèanaidh innealan meidigeach.

“Bu chòir do luchd-saothrachaidh measadh a bheil iad fo bhuaidh so-leòntachd, measadh a dhèanamh air a’ chunnart, agus gnìomhan leigheas a leasachadh. Leis gu bheil Apache Log4j air a chleachdadh gu farsaing thar bathar-bog, tagraidhean, agus seirbheisean, bu chòir do luchd-saothrachaidh innealan meidigeach measadh cuideachd am faod co-phàirtean no seirbheisean bathar-bog treas-phàrtaidh a thathas a’ cleachdadh ann an no leis an inneal meidigeach aca am bathar-bog air a bheil buaidh a chleachdadh agus am pròiseas gu h-àrd a leantainn gus buaidh inneal a mheasadh. ", tha an FDA ag ràdh.

Bu chòir do luchd-saothrachaidh a dh’ fhaodadh a bhith fo bhuaidh so-leòntachd Log4j conaltradh leis an luchd-ceannach aca agus co-òrdanachadh le CISA, tha an FDA ag iarraidh. “Leis gur e cùis leantainneach a tha seo agus a tha fhathast a’ fàs, tha sinn cuideachd a ’moladh a bhith faiceallach agus freagairt gus dèanamh cinnteach gu bheil innealan meidigeach tèarainte gu h-iomchaidh.”

Oifis HHS airson Còraichean Catharra, a tha a’ cur an gnìomh HIPAA, Dimàirt cuideachd chuir iad a-mach comhairleachadh stèidhichte air rabhadh CISA.

'Cùis Mhòir'

Tha an locht Log4j “na chùis mhòr san fharsaingeachd,” thuirt Benjamin Denkers, prìomh oifigear ùr-ghnàthachaidh aig prìobhaideachd agus co-chomhairleachadh tèarainteachd CynergisTek.

“Tha a h-uile gnìomhachas air a bhith a’ cur seachad an t-seachdain sa chaidh a’ feuchainn ri aithneachadh agus leigheas. Chan eil feum air ìre àrd de shòlasachd airson a bhith furasta a chleachdadh airson an so-leòntachd seo. Tha cleachdadh soirbheachail a’ ceadachadh còd a chur an gnìomh aig astar, a bheir cothrom do luchd-ionnsaigh san àrainneachd.”

“Is e fìor chùis a tha seo agus chan urrainnear a lughdachadh cho luath sa dh’ fheumas buidhnean freagairt, ”thuirt Erik Decker, CISO de shiostam lìbhrigidh cùram slàinte stèidhichte ann an Utah Intermountain Healthcare agus co-chathraiche air buidheann gnìomh comhairleachaidh cybersecurity HHS. “Leigidh e le droch chleasaiche còd iomallach a chuir an gnìomh an aghaidh frithealaichean, no frithealaichean sìos an abhainn, a tha so-leònte air an eadar-lìn. Bidh droch chleasaichean a’ cleachdadh so-leòntachd mar seo mar a’ chiad cheum aca ann an co-rèiteachaidhean mòra." tha e ag ràdh.

Dh’ fhaodadh goid dàta a bhith san rùn, ransomware, no goid seilbh inntleachdail, tha e ag ràdh. “Chaidh aithris gu bheil an gang Conti ransomware a-nis a’ gabhail brath air an so-leòntachd seo gus ransomware a leigeil ma sgaoil air siostaman a-staigh. ”

Airson buidhnean san roinn cùram slàinte, bhiodh Log4j mar phàirt de bhuileachadh tagraidh nas motha, tha Denkers ag ràdh. “Is dòcha nach biodh fios agad gun deach a chuir a-steach, oir dh’ fhaodadh gur e seo aon de na ceudan de phasganan a dh’ fhaodadh a bhith gan cleachdadh airson an aplacaid sin a ruith. ”

Tha Crìsdean Frenz, leas-iar-cheann-suidhe tèarainteachd IT ospadal Mount Sinai South Nassau ann an Oceanside, New York, a’ tabhann measadh coltach ris.

“Leis gur e leabharlann bathar-bog mòr-chòrdte a th’ ann an Log4j a thathas a ’cleachdadh ann am pailteas de thagraidhean tha sin cuideachd a’ ciallachadh gu bheil pailteas de thagraidhean ann a dh ’fhaodadh a bhith so-leònte," thuirt e.

“Tha an cleachdadh farsaing seo a’ ciallachadh chan e a-mhàin gu bheil uachdar ionnsaigh mòr ann, ach dùbhlan dha mòran bhuidhnean eadhon na h-àiteachan far a bheil iad so-leònte a lorg. ”

Tha CISA a’ cur ri chèile liosta de thagraidhean so-leònte as urrainn do bhuidhnean tòiseachadh a’ cleachdadh gus measadh far am faodadh iad a bhith so-leòntachd, ach chan eil mòran de luchd-reic bathar-bog meidigeach agus luchd-saothrachaidh innealan meidigeach le tagraidhean so-leònte fhathast air an liosta, tha Frenz ag ràdh.

Tha Decker ag ràdh gum faodadh Log4J a bhith aig buidhnean anns na h-iomairtean aca agus gun a bhith ga thoirt gu buil leis gu bheil e “duilich a lorg leis na sganadairean so-leòntachd gnàthach," thuirt e.

“Chan eil mòran de luchd-reic a’ ceadachadh ruigsinneachd rianachd air na h-innealan aca. Feumaidh sinn a bhith an urra ris a’ phròiseas foillseachaidh so-leòntachd aca gus faighinn a-mach a bheil am bathar-bog so-leònte no nach eil. Na gabh a-steach dìreach leis nach eil an sganadh agad a’ lorg cho so-leòntachd nach eil suidheachadh sam bith agad dheth,” tha e ag ràdh.

Tha Frenz ag ràdh gu bheil e air a bhith “na neach-taic fad-ùine de bhuidhnean cùram slàinte ag iarraidh bile bathar-bog de stuthan airson tagraidhean agus innealan a tha iad air bòrd, agus tha an so-leòntachd seo a’ nochdadh gu soilleir carson a tha seo deatamach. ”

Dhèanadh Bile Stuthan Bathar-bog, no SBOM, airson a h-uile aplacaid is inneal e mòran na b’ fhasa comharrachadh far an robh an so-leòntachd seo ann, tha e ag ràdh.

A' sabaid 'FUD'

Feumaidh buidhnean cùram slàinte measadh a dhèanamh an tug so-leòntachd Log4j buaidh orra, ach bu chòir dhaibh cuideachd an duilgheadas a chuir ann an sealladh ceart, tha cuid de eòlaichean ag iarraidh. “Bun-loidhne: Tha Log4j uile-làthaireach air feadh tagraidhean IT agus chan eil e na chunnart sònraichte do shlàinte,” thuirt Denise Anderson, ceann-suidhe an Ionad Co-roinn agus Mion-sgrùdadh Fiosrachaidh Slàinte, ann an aithris gu Buidheann Meadhanan Tèarainteachd Fiosrachaidh.

“Mar as àbhaist, feumar a bhith a’ coimhead thairis air mòran den ‘fuaim’ agus eagal, mì-chinnt, teagamh - FUD - leithid ‘ionnsaighean’ 800,000 nas lugha mu fhìor ionnsaighean / brathan agus barrachd mu dhiofar dhaoine, a’ toirt a-steach luchd-rannsachaidh, a’ sganadh airson. innealan so-leònte, ”tha i ag ràdh, a’ toirt iomradh air grunn aithisgean luchd-reic tèarainteachd an t-seachdain seo anns a bheil iad ag ràdh gu bheil iad air casg a chuir air na ceudan de mhìltean de dh ’oidhirpean ionnsaigh a’ gabhail brath air locht Log4j.

“Is e an ro-innleachd lasachaidh bunaiteach a bhith ag ùrachadh gu dreach 2.16.0 agus aig a’ char as lugha gu 2.15.0 cho luath ‘s a ghabhas - mura h-eil sa bhad - nuair a thèid dearbhadh gu bheil inneal ann an àrainneachd air a chleachdadh,” thuirt i. Chuir H-ISAC a-mach cuideachd a iris mu dheidhinn so-leòntachd don roinn slàinte air 10 Dùbhlachd.

Tha an comhairliche H-ISAC a’ toirt fa-near gu bheil cuid de luchd-rannsachaidh an amharas gu bheil cuid de chleasaichean ransomware air tòiseachadh mar-thà a’ faighinn buannachd bho cho cugallach ‘s a tha ionnsaighean. (Faic: Luchd-ionnsaigh Stàite Dùthchasach a’ Wielding Log4j).

Ceangal gus an artaigil slàn a leughadh an seo https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

• Goireasan & Naidheachdan Co-cheangailte
• Aithisg air Cruth-tìre Bagairt Cùram Slàinte is Taic Shòisealta
• Tha AI àidseantach ann an cùram slàinte na mholadh cunnartach
• Live@eXchange Latha 2 – Anailisiche Tèarainteachd Innealan Meidigeach Health-ISAC
• Slàinte-ISAC Hacking Cùram Slàinte 6-3-2026
• So-leòntachd ùra ag amas air gnìomhachas cùram slàinte
• Cuairt-litir Mìosail - Ògmhios 2026
• Na tha dha-rìribh a dhìth airson Cùram Slàinte a Thèarainteachadh
• Bidh Clàr-stuthan Innealan agus Mapaichean PHI mar na Togalaichean as Truime nuair a thuiteas an HIPAA ùr
• Verizon DBIR: Cùram Slàinte a’ cur casg air barrachd ionnsaighean innleadaireachd shòisealta
• Aithisg air Staid Cunnart Saidhbear Daonna