मुख्य सामग्री पर जाएं

लॉग4जे दोष: स्वास्थ्य सेवा क्षेत्र को कार्रवाई करने की चेतावनी दी गई

विशेषज्ञ: प्रभाव की सीमा अनिश्चित, लेकिन संस्थाओं को जोखिम का आकलन कर उसे कम करना होगा

मैरिएन कोलबासुक मैक्गी (स्वास्थ्यसूचनासेक) • दिसम्बर 17/2021

अन्य उद्योगों की तरह स्वास्थ्य सेवा क्षेत्र के संगठनों को भी संघीय प्राधिकारियों और अन्य लोगों द्वारा चेतावनी दी जा रही है कि वे हाल ही में पहचानी गई गंभीर रिमोट कोड निष्पादन भेद्यता का सावधानीपूर्वक आकलन करें। अपाचे Log4j जावा लॉगिंग लाइब्रेरी उनके वातावरण को प्रभावित कर सकती है, और फिर इस मुद्दे को तेजी से संबोधित करने के लिए।

स्वास्थ्य एवं मानव सेवा विभाग का स्वास्थ्य क्षेत्र साइबर सुरक्षा समन्वय केंद्र, या HC3, ने 10 दिसंबर को जारी एक अलर्ट में स्वास्थ्य सेवा और सार्वजनिक स्वास्थ्य संगठनों को अपने बुनियादी ढांचे का सर्वेक्षण करने की सलाह दी ताकि यह सुनिश्चित किया जा सके कि वे Log4j के कमजोर संस्करण नहीं चला रहे हैं।

परामर्श में कहा गया है, "किसी भी कमजोर प्रणाली को अपग्रेड किया जाना चाहिए, तथा यदि कोई कमजोर संस्करण पहचाना जाता है तो संभावित शोषण की पहचान करने के लिए उद्यम नेटवर्क की पूरी जांच शुरू की जानी चाहिए।"

HC4 का कहना है कि लॉग3j को स्वास्थ्य क्षेत्र में किस हद तक तैनात किया गया है, यह अज्ञात है। "यह एक सामान्य अनुप्रयोग है, जिसका उपयोग कई उद्यम और बादल कई बड़े और जाने-माने विक्रेताओं सहित कई अनुप्रयोगों में यह समस्या है। इसलिए, इस बात की बहुत अधिक संभावना है कि स्वास्थ्य क्षेत्र इस भेद्यता से प्रभावित हो, और संभवतः बड़े पैमाने पर।”

परामर्श में कहा गया है कि HC3 इस कमजोरी को उच्च प्राथमिकता देने की सिफारिश करता है।

गैर-लाभकारी अपाचे सॉफ्टवेयर फाउंडेशन द्वारा संचालित, ओपन-सोर्स लॉग4जे जावा अनुप्रयोगों के लिए लॉगिंग क्षमताएं प्रदान करता है और अपाचे वेब सर्वर सॉफ्टवेयर सहित व्यापक रूप से इसका उपयोग किया जाता है।

यह दोष अपाचे लॉग4जे लाइब्रेरी, संस्करण 2.0-बीटा9 से 2.14.1 तक में मौजूद है, और अमेरिकी साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी 10 दिसंबर को जारी अलर्ट में सभी क्षेत्रों के संगठनों को सलाह दी गई कि उन्हें इसे सर्वोच्च प्राथमिकता के साथ ठीक करना चाहिए।

शुक्रवार को, खाद्य एवं औषधि प्रशासन लॉग4जे दोष के बारे में भी चिकित्सा उपकरण निर्माताओं को चेतावनी जारी की गई।

एफडीए का कहना है, "निर्माताओं को यह आकलन करना चाहिए कि क्या वे इस भेद्यता से प्रभावित हैं, जोखिम का मूल्यांकन करें और उपचारात्मक कार्रवाई विकसित करें। चूंकि अपाचे लॉग4जे का व्यापक रूप से सॉफ्टवेयर, एप्लिकेशन और सेवाओं में उपयोग किया जाता है, इसलिए चिकित्सा उपकरण निर्माताओं को यह भी मूल्यांकन करना चाहिए कि क्या उनके चिकित्सा उपकरण में या उसके साथ उपयोग किए जाने वाले तीसरे पक्ष के सॉफ्टवेयर घटक या सेवाएं प्रभावित सॉफ्टवेयर का उपयोग कर सकती हैं और डिवाइस के प्रभाव का आकलन करने के लिए उपरोक्त प्रक्रिया का पालन करें।"

FDA ने आग्रह किया है कि Log4j भेद्यता से प्रभावित होने वाले निर्माताओं को अपने ग्राहकों से संवाद करना चाहिए और CISA के साथ समन्वय करना चाहिए। "चूंकि यह एक जारी और अभी भी विकसित हो रही समस्या है, इसलिए हम यह भी अनुशंसा करते हैं कि चिकित्सा उपकरणों को उचित रूप से सुरक्षित रखने के लिए निरंतर सतर्कता और प्रतिक्रिया बरती जाए।"

एचएचएस का नागरिक अधिकार कार्यालय, जो लागू करता है HIPAAने भी मंगलवार को सीआईएसए की चेतावनी के आधार पर एक एडवाइजरी जारी की।

'बड़ा मुद्दा'

लॉग4जे में खामी "एक बहुत बड़ी समस्या है", मुख्य नवाचार अधिकारी बेंजामिन डेन्कर्स कहते हैं एकांत और सुरक्षा परामर्शदात्री साइनर्जिसटेक।

"पिछले हफ़्ते हर उद्योग जगत ने इस कमज़ोरी को पहचानने और उसे ठीक करने की कोशिश की। इस कमज़ोरी का आसानी से दोहन करने के लिए उच्च स्तर की परिष्कार की ज़रूरत नहीं होती। सफल दोहन से रिमोट कोड निष्पादन की अनुमति मिलती है, जो हमलावरों को पर्यावरण में पैर जमाने का मौक़ा देता है।"

यूटा स्थित हेल्थकेयर डिलीवरी सिस्टम इंटरमाउंटेन हेल्थकेयर के सीआईएसओ और एचएचएस साइबरसिक्यूरिटी एडवाइजरी टास्क फोर्स के सह-अध्यक्ष एरिक डेकर कहते हैं, "यह एक गंभीर मुद्दा है और इस बात को कम नहीं आंका जा सकता कि संगठनों को कितनी जल्दी प्रतिक्रिया देने की जरूरत है।" "यह किसी बुरे अभिनेता को सर्वर या डाउनस्ट्रीम सर्वर के खिलाफ रिमोट कोड निष्पादित करने की अनुमति देता है, जो इंटरनेट पर असुरक्षित हैं। बुरे अभिनेता इस तरह की कमजोरियों का उपयोग बड़े पैमाने पर समझौता करने के लिए अपने पहले कदम के रूप में करते हैं।" वे कहते हैं।

इसका उद्देश्य डेटा चोरी हो सकता है, Ransomware, या बौद्धिक संपदा की चोरी, वे कहते हैं। "यह बताया गया कि कॉन्टी रैनसमवेयर गिरोह अब आंतरिक प्रणालियों पर रैनसमवेयर जारी करने के लिए इस कमज़ोरी का फायदा उठा रहा है।"

डेन्कर कहते हैं कि स्वास्थ्य सेवा क्षेत्र की संस्थाओं के लिए, Log4j एक बड़े अनुप्रयोग कार्यान्वयन का हिस्सा होगा। "आपको यह जानने की ज़रूरत नहीं होगी कि यह इंस्टॉल किया गया है, क्योंकि यह उस अनुप्रयोग को चलाने के लिए उपयोग किए जा रहे सैकड़ों संभावित पैकेजों में से एक हो सकता है।"

न्यूयॉर्क के ओसियनसाइड स्थित माउंट सिनाई साउथ नासाउ अस्पताल के आईटी सुरक्षा के सहायक उपाध्यक्ष क्रिस्टोफर फ्रेन्ज़ भी इसी तरह का आकलन देते हैं।

वे कहते हैं, "क्योंकि Log4j एक लोकप्रिय सॉफ्टवेयर लाइब्रेरी है जिसका उपयोग बहुत सारे अनुप्रयोगों में किया जाता है, इसका अर्थ यह भी है कि ऐसे बहुत सारे अनुप्रयोग हैं जो शोषण के लिए संभावित रूप से असुरक्षित हैं।"

"इस व्यापक उपयोग का अर्थ यह है कि न केवल हमले की एक बड़ी संभावित सतह है, बल्कि कई संगठनों के लिए उन सभी बिंदुओं का पता लगाना भी एक चुनौती है जहां वे असुरक्षित हैं।"

CISA संकलन कर रहा है एक सूची फ्रेन्ज़ कहते हैं कि यह सूची उन कमजोर अनुप्रयोगों की सूची है, जिनका उपयोग संगठन यह आकलन करने के लिए कर सकते हैं कि उनमें कहां कमजोरी हो सकती है, लेकिन कमजोर अनुप्रयोगों वाले कई चिकित्सा सॉफ्टवेयर विक्रेता और चिकित्सा उपकरण निर्माता अभी तक सूची में नहीं हैं।

लोगो CISA होमलैंड सुरक्षा विभाग

डेकर कहते हैं कि संस्थाओं के उद्यमों में Log4J हो सकता है और उन्हें इसका एहसास नहीं हो सकता, क्योंकि "वर्तमान भेद्यता स्कैनर के साथ इसका पता लगाना कठिन है।"

"कई विक्रेता अपने उपकरणों तक प्रशासनिक पहुँच की अनुमति नहीं देते हैं। हमें यह जानने के लिए उनकी भेद्यता प्रकटीकरण प्रक्रिया पर निर्भर रहना चाहिए कि सॉफ़्टवेयर भेद्य है या नहीं। सिर्फ़ इसलिए यह मत मानिए कि आपकी स्कैनिंग भेद्यता का पता नहीं लगा पाती है कि आपके पास इसका कोई उदाहरण नहीं है," वे कहते हैं।

फ्रेन्ज़ कहते हैं कि वे "लंबे समय से स्वास्थ्य सेवा संगठनों के समर्थक रहे हैं, जो अपने द्वारा शुरू किए गए अनुप्रयोगों और उपकरणों के लिए सॉफ्टवेयर बिल ऑफ मटीरियल की मांग करते हैं, और यह भेद्यता स्पष्ट रूप से दर्शाती है कि यह क्यों महत्वपूर्ण है।"

उन्होंने कहा कि प्रत्येक एप्लिकेशन और डिवाइस के लिए सॉफ्टवेयर बिल ऑफ मैटेरियल्स या एसबीओएम से यह पता लगाना आसान हो जाएगा कि कहां पर यह कमजोरी मौजूद है।

'एफयूडी' से लड़ना

कुछ विशेषज्ञों का कहना है कि स्वास्थ्य सेवा संस्थाओं को यह आकलन करना चाहिए कि क्या वे Log4j भेद्यता से प्रभावित हुए हैं, लेकिन समस्या को उचित परिप्रेक्ष्य में भी रखना चाहिए। स्वास्थ्य सूचना साझाकरण और विश्लेषण केंद्र के अध्यक्ष डेनिस एंडरसन ने सूचना सुरक्षा मीडिया समूह को दिए गए एक बयान में कहा, "निचला बिंदु: Log4j पूरे आईटी अनुप्रयोगों में सर्वव्यापी है और यह स्वास्थ्य के लिए कोई विशेष खतरा नहीं है।"

"हमेशा की तरह, बहुत सारे 'शोर' और भय, अनिश्चितता, संदेह - FUD - को नजरअंदाज करने की आवश्यकता है - जैसे कि 800,000 'हमले' वास्तविक हमलों / शोषण के बारे में कम और शोधकर्ताओं सहित विभिन्न लोगों के बारे में अधिक हैं, जो कमजोर उपकरणों की स्कैनिंग करते हैं," वह कहती हैं, इस सप्ताह विभिन्न सुरक्षा विक्रेताओं की रिपोर्टों का जिक्र करते हुए जिसमें उन्होंने दावा किया है कि उन्होंने Log4j दोष का फायदा उठाने वाले सैकड़ों हजारों हमले के प्रयासों को पहले ही रोक दिया है।

वह कहती हैं, "जब किसी वातावरण में किसी उपकरण के शोषण योग्य होने की पुष्टि हो जाती है, तो बुनियादी शमन रणनीति जितनी जल्दी हो सके संस्करण 2.16.0 और कम से कम 2.15.0 तक अपग्रेड करना है - यदि तुरंत नहीं - तो।" H-ISAC ने भी एक जारी किया बुलेटिन 10 दिसंबर को स्वास्थ्य क्षेत्र की कमजोरी के बारे में एक रिपोर्ट पेश की गई।

एच-आईएसएसी परामर्श में कहा गया है कि कुछ शोधकर्ताओं को संदेह है कि कुछ रैनसमवेयर अभिनेताओं ने हमलों के लिए पहले से ही इस कमजोरी का लाभ उठाना शुरू कर दिया है। (देखें: राष्ट्र-राज्य हमलावरों द्वारा लॉग4जे का प्रयोग).

पूरा लेख पढ़ने के लिए लिंक यहां है https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

मासिक समाचार पत्र – जनवरी 2022
अपाचे Log4j नोटिस