Nedostatak Log4j: zdravstveni sektor upozoren da nešto poduzme

Stručnjaci: Opseg utjecaja neizvjestan, ali subjekti moraju procijeniti, ublažiti rizik

Marianne Kolbasuk McGee (HealthInfoSec🇧🇷 Prosinac 17, 2021

Savezne vlasti i drugi upozoravaju organizacije zdravstvenog sektora, poput entiteta u drugim industrijama, da pažljivo procijene kako je nedavno identificirana teška ranjivost daljinskog izvršavanja koda u Apache Log4j Java biblioteka za bilježenje može utjecati na njihova okruženja, a zatim da brzo riješi problem.

Ministarstvo zdravstva i ljudskih usluga Koordinacijski centar za kibernetičku sigurnost zdravstvenog sektora, ili HC3, u upozorenju izdanom 10. prosinca savjetuje zdravstvenim i javnozdravstvenim organizacijama da pregledaju svoju infrastrukturu kako bi osigurali da ne koriste ranjive verzije Log4j.

"Sve ranjive sustave treba nadograditi i treba započeti potpunu istragu poslovne mreže kako bi se identificirala moguća eksploatacija ako se identificira ranjiva verzija", kaže se u savjetu.

Točan opseg u kojem je Log4j raspoređen u zdravstvenom sektoru nije poznat, kaže HC3. “To je uobičajena aplikacija, koju koriste mnoge tvrtke i tvrtke oblak aplikacija, uključujući nekoliko velikih i poznatih dobavljača. Stoga je vrlo vjerojatno da je zdravstveni sektor pogođen ovom ranjivošću, i to vjerojatno u velikim razmjerima.”

HC3 preporučuje tretiranje ranjivosti kao visokog prioriteta, kaže se u savjetu.

Održava ga neprofitna zaklada Apache Software Foundation, Log4j otvorenog koda pruža mogućnosti zapisivanja za Java aplikacije i naširoko se koristi, uključujući softver web poslužitelja Apache.

Greška je prisutna u biblioteci Apache Log4j, verzije 2.0-beta9 do 2.14.1, i Agencija za kibernetičku sigurnost i sigurnost infrastrukture SAD-a u upozorenju od 10. prosinca također je savjetovano organizacijama u svim sektorima da rješavanju problema pristupe s najvećim prioritetom.

U petak, Food and Drug Administration također je izdao upozorenje o grešci Log4j, usmjereno prema proizvođačima medicinskih uređaja.

“Proizvođači bi trebali procijeniti jesu li pogođeni ranjivošću, procijeniti rizik i razviti mjere za sanaciju. Budući da se Apache Log4j naširoko koristi u softveru, aplikacijama i uslugama, proizvođači medicinskih uređaja također bi trebali procijeniti mogu li softverske komponente ili usluge trećih strana koje se koriste u njihovim medicinskim uređajima ili s njihovim medicinskim uređajima koristiti zahvaćeni softver i slijediti gornji postupak za procjenu utjecaja uređaja “, kaže FDA.

Proizvođači koji bi mogli biti pogođeni ranjivošću Log4j trebali bi komunicirati sa svojim kupcima i koordinirati se s CISA-om, apelira na FDA. "Budući da je ovo problem koji je u tijeku i još uvijek se razvija, također preporučujemo kontinuirani oprez i reakciju kako bismo osigurali da su medicinski uređaji odgovarajuće osigurani."

HHS-ov Ured za građanska prava, koji provodi Hipaa, u utorak je također izdao upozorenje na temelju upozorenja CISA-e.

'Ogroman problem'

Nedostatak Log4j je "veliki problem u svim segmentima", kaže Benjamin Denkers, glavni direktor za inovacije u privatnost i sigurnosno savjetovanje CynergisTek.

“Svaka industrija provela je prošli tjedan pokušavajući identificirati i sanirati. Lakoća iskorištavanja ove ranjivosti ne zahtijeva visoku razinu sofisticiranosti. Uspješno iskorištavanje omogućuje daljinsko izvršavanje koda, što napadačima daje uporište u okruženju.”

"Ovo je ozbiljan problem i ne može se umanjiti koliko brzo organizacije moraju reagirati", kaže Erik Decker, CISO sustava pružanja zdravstvene skrbi Intermountain Healthcare sa sjedištem u Utahu i supredsjedatelj HHS-ove savjetodavne radne skupine za kibernetičku sigurnost. “Omogućuje lošem akteru da izvrši udaljeni kod protiv poslužitelja ili poslužitelja nizvodno koji su ranjivi preko interneta. Loši akteri koriste takve ranjivosti kao prvi korak u velikim kompromisima.” kaže on.

Namjera bi mogla biti krađa podataka, ransomware, ili krađu intelektualnog vlasništva, kaže. “Prijavljeno je da skupina Conti ransomware sada iskorištava ovu ranjivost za oslobađanje ransomwarea na internim sustavima.”

Za subjekte u zdravstvenom sektoru Log4j bi bio dio veće implementacije aplikacije, kaže Denkers. "Ne biste nužno znali da je instaliran, jer bi mogao biti jedan od stotina potencijalnih paketa koji se koriste za pokretanje te aplikacije."

Christopher Frenz, pomoćnik potpredsjednika IT sigurnosti bolnice Mount Sinai South Nassau u Oceansideu, New York, nudi sličnu procjenu.

"Budući da je Log4j popularna softverska biblioteka koja se koristi u mnoštvu aplikacija, to također znači da postoji obilje aplikacija koje su potencijalno ranjive na iskorištavanje", kaže on.

"Ova široko rasprostranjena uporaba znači da ne postoji samo velika potencijalna površina napada, već i izazov za mnoge organizacije da čak lociraju sve točke na kojima su ranjive."

CISA je u izradi popis ranjivih aplikacija koje organizacije mogu početi koristiti za procjenu gdje bi mogle imati ranjivost, ali mnogi prodavači medicinskog softvera i proizvođači medicinskih uređaja s ranjivim aplikacijama još nisu na popisu, kaže Frenz.

Decker kaže da bi subjekti mogli imati Log4J u svojim poduzećima i ne shvatiti to jer ga je "teško otkriti s trenutnim skenerima ranjivosti", kaže on.

“Mnogi dobavljači ne dopuštaju administrativni pristup svojim uređajima. Moramo se osloniti na njihov postupak otkrivanja ranjivosti kako bismo znali je li softver ranjiv ili ne. Nemojte pretpostavljati da nemate primjeraka ranjivosti samo zato što vaše skeniranje ne otkriva ranjivost,” kaže on.

Frenz kaže da je bio "dugogodišnji zagovornik toga da zdravstvene organizacije traže softverski popis materijala za aplikacije i uređaje koje koriste, a ova ranjivost jasno ilustrira zašto je to kritično."

Software Bill of Materials, ili SBOM, za svaku aplikaciju i uređaj znatno bi olakšao prepoznavanje mjesta na kojima postoji ova ranjivost, kaže on.

Borba protiv 'FUD-a'

Zdravstveni subjekti moraju procijeniti jesu li bili pogođeni ranjivošću Log4j, ali također trebaju staviti problem u pravu perspektivu, apeliraju neki stručnjaci. "Zaključak: Log4j je sveprisutan u svim IT aplikacijama i nije specifična prijetnja zdravlju", kaže Denise Anderson, predsjednica Centra za razmjenu i analizu zdravstvenih informacija, u izjavi za Information Security Media Group.

„Kao i uvijek, potrebno je zanemariti puno 'buke' i straha, neizvjesnosti, sumnje - FUD - kao što je 800,000 4 'napada' manje o stvarnim napadima/iskorištavanjima, a više o raznim ljudima, uključujući istraživače, koji traže ranjivi uređaji”, kaže ona, pozivajući se na ovotjedna izvješća raznih dobavljača sigurnosnih proizvoda u kojima tvrde da su već blokirali stotine tisuća pokušaja napada iskorištavanje greške LogXNUMXj.

"Osnovna strategija ublažavanja je nadogradnja na verziju 2.16.0 i najmanje na 2.15.0 što je prije moguće - ako ne odmah - kada se potvrdi da se neki uređaj u okruženju može iskoristiti", kaže ona. H-ISAC je također izdao a bilten o ranjivosti zdravstvenog sektora 10. prosinca.

H-ISAC savjet napominje da neki istraživači sumnjaju da su neki akteri ransomwarea već počeli iskorištavati ranjivost za napade. (Vidjeti: Napadači iz nacionalne države s log4j).

Link za čitanje cijelog članka ovdje https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

• Povezani izvori i vijesti
• Izvješće o stanju prijetnji u zdravstvu i socijalnoj pomoći
• Agentska umjetna inteligencija u zdravstvu je rizičan prijedlog
• Live@eXchange 2. dan – Analitičar sigurnosti medicinskih uređaja Health-ISAC-a
• Health-ISAC Hacking Healthcare 6
• Nove ranjivosti usmjerene na zdravstvenu industriju
• Mjesečni bilten – lipanj 2026
• Što je stvarno potrebno za sigurnu zdravstvenu skrb
• Inventar uređaja i mapiranje zaštićenih zdravstvenih podataka (PHI) bit će najteži izazovi kada se uvede novi HIPAA.
• Verizon DBIR: Zdravstvo se odupire sve većim napadima socijalnog inženjeringa
• Izvješće o stanju ljudskih kibernetičkih rizika