Ir ao contido principal

Fallo de Log4j: advertíronlle ao sector sanitario que tome medidas

Expertos: alcance do impacto incerto, pero as entidades deben avaliar, mitigar o risco

Marianne Kolbasuk McGee (Saúde InfoSec🇧🇷 Decembro 17, 2021

As organizacións do sector sanitario, como as entidades doutras industrias, están sendo advertidas polas autoridades federais e outros para que avalúen coidadosamente como a vulnerabilidade grave de execución de código remota identificada recentemente no Apache Log4j Java a biblioteca de rexistro pode afectar os seus ambientes e, a continuación, solucionar o problema rapidamente.

Consellería de Sanidade e Servizos Humanos Centro de Coordinación de Ciberseguridade do Sector Sanitario, ou HC3, nunha alerta emitida o 10 de decembro aconsellou ás organizacións sanitarias e de saúde pública que investigasen a súa infraestrutura para asegurarse de que non están a executar versións vulnerables de Log4j.

"Debería actualizarse calquera sistema vulnerable e debería comezar unha investigación completa da rede empresarial para identificar a posible explotación se se identifica unha versión vulnerable", di o aviso.

Descoñécese a medida exacta en que Log4j se implanta en todo o sector sanitario, di HC3. “É unha aplicación común, utilizada por moitas empresas e nube aplicacións, incluíndo varios provedores grandes e coñecidos. Polo tanto, é moi probable que o sector sanitario se vexa afectado por esta vulnerabilidade, e posiblemente a gran escala".

HC3 recomenda tratar a vulnerabilidade como unha alta prioridade, di o aviso.

Mantido pola organización sen ánimo de lucro Apache Software Foundation, Log4j de código aberto ofrece capacidades de rexistro para aplicacións Java e é moi utilizado, incluso para o software do servidor web Apache.

A falla está presente na biblioteca Apache Log4j, versións 2.0-beta9 a 2.14.1 e Axencia de Seguridade Cibernética e Infraestrutura dos Estados Unidos nunha alerta do 10 de decembro tamén aconsellou ás organizacións de todos os sectores que deberían abordalo coa máxima prioridade.

O venres, o Food and Drug Administration emitiu unha alerta sobre o fallo Log4j, tamén dirixida aos fabricantes de dispositivos médicos.

"Os fabricantes deben avaliar se están afectados pola vulnerabilidade, avaliar o risco e desenvolver accións de remediación. Dado que Apache Log4j utilízase amplamente en software, aplicacións e servizos, os fabricantes de dispositivos médicos tamén deben avaliar se os compoñentes ou servizos de software de terceiros utilizados no seu dispositivo médico ou co seu dispositivo médico poden utilizar o software afectado e seguir o proceso anterior para avaliar o impacto do dispositivo. ", di a FDA.

Os fabricantes que poden verse afectados pola vulnerabilidade Log4j deben comunicarse cos seus clientes e coordinarse con CISA, insta a FDA. "Como este é un problema en curso e en evolución, tamén recomendamos unha vixilancia e unha resposta continuadas para garantir que os dispositivos médicos estean debidamente protexidos".

Oficina de Dereitos Civís do HHS, que fai cumprir HIPAA, tamén emitiu este martes un aviso baseado na alerta de CISA.

'Problema masivo'

O fallo de Log4j é "un problema enorme en todos os ámbitos", di Benjamin Denkers, director de innovación de privacidade e a consultoría de seguridade CynergisTek.

"Todas as industrias pasaron a última semana intentando identificar e remediar. A facilidade de explotación desta vulnerabilidade non require un alto nivel de sofisticación. A explotación exitosa permite a execución remota de código, o que dá aos atacantes un punto de apoio no ambiente".

"Este é un problema grave e non se pode restar importancia á rapidez con que as organizacións deben responder", di Erik Decker, CISO do sistema de prestación de atención sanitaria Intermountain Healthcare con sede en Utah e copresidente dun grupo de traballo asesor de ciberseguridade do HHS. "Permite que un mal actor execute código remoto contra servidores, ou servidores posteriores, que son vulnerables a través de Internet. Os malos actores usan vulnerabilidades como estas como o seu primeiro paso en compromisos a gran escala". di el.

A intención podería ser o roubo de datos, ransomware, ou roubo de propiedade intelectual, di. "Informouse de que a banda de ransomware Conti está agora a explotar esta vulnerabilidade para liberar ransomware nos sistemas internos".

Para as entidades do sector sanitario, Log4j formaría parte dunha implementación de aplicacións máis ampla, di Denkers. "Non necesariamente saberías que estaba instalado, xa que podería ser un dos centos de paquetes potenciais que se están utilizando para que esa aplicación se execute".

Christopher Frenz, vicepresidente asistente de seguridade informática do hospital Mount Sinai South Nassau en Oceanside, Nova York, ofrece unha avaliación similar.

"Porque Log4j é unha biblioteca de software popular que se usa nunha infinidade de aplicacións, o que tamén significa que hai unha abundancia de aplicacións que son potencialmente vulnerables á explotación", di.

"Este uso xeneralizado significa que non só hai unha gran superficie de ataque potencial, senón que é un desafío para moitas organizacións incluso localizar todos os puntos nos que son vulnerables".

CISA está compilando unha lista de aplicacións vulnerables que as organizacións poden comezar a usar para avaliar onde poden ter a vulnerabilidade, pero moitos provedores de software médico e fabricantes de dispositivos médicos con aplicacións vulnerables aínda non están na lista, di Frenz.

Logotipo CISA Department of Homeland Security

Decker di que as entidades poderían ter Log4J nas súas empresas e non darse conta porque é "difícil de descubrir cos escáneres de vulnerabilidade actuais", di.

"Moitos provedores non permiten o acceso administrativo aos seus aparellos. Debemos confiar no seu proceso de divulgación de vulnerabilidades para saber se o software é vulnerable ou non. Non asumas que non tes ningún caso só porque a túa dixitalización non detecte a vulnerabilidade", di.

Frenz di que foi "un defensor desde hai moito tempo das organizacións sanitarias que solicitan unha lista de materiais de software para as aplicacións e dispositivos que incorporan, e esta vulnerabilidade ilustra claramente por que isto é crítico".

Unha lista de materiais de software, ou SBOM, para cada aplicación e dispositivo facilitaría moito identificar onde existía esta vulnerabilidade, di.

Loitando contra 'FUD'

As entidades sanitarias deben avaliar se foron afectadas pola vulnerabilidade Log4j, pero tamén deben poñer o problema nunha perspectiva adecuada, instan algúns expertos. "Conclusión: Log4j é omnipresente en todas as aplicacións informáticas e non é unha ameaza específica para a saúde", di Denise Anderson, presidenta do Centro de Análise e Compartimento de Información Sanitaria, nunha declaración a Information Security Media Group.

"Como sempre, hai que pasar por alto moito do 'ruído' e do medo, a incerteza, a dúbida (FUD), como 800,000 'ataques' que son menos sobre ataques/explotacións reais e máis sobre varias persoas, incluídos investigadores, que buscan dispositivos vulnerables", di, en referencia aos informes de varios provedores de seguridade desta semana nos que afirman que xa bloquearon centos de miles de intentos de ataque Fallo Log4j.

"A estratexia básica de mitigación é actualizar á versión 2.16.0 e como mínimo á 2.15.0 o antes posible, se non inmediatamente, cando se confirme que algún dispositivo nun ambiente é explotable", di ela. H-ISAC tamén emitiu a Boletín sobre a vulnerabilidade do sector sanitario o 10 de decembro.

O aviso de H-ISAC sinala que algúns investigadores sospeitan que algúns actores do ransomware xa comezaron a aproveitar a vulnerabilidade para os ataques. (Ver: Atacantes nacionais que manexan Log4j).

Ligazón para ler o artigo completo aquí https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

Boletín mensual de xaneiro de 2022
Avisos de Apache Log4j