Ugrás a tartalomra

Log4j hiba: Az egészségügyi szektort cselekvésre figyelmeztették

Szakértők: A hatás mértéke bizonytalan, de az entitásoknak értékelniük kell, csökkenteni kell a kockázatot

Marianne Kolbasuk McGee (HealthInfoSec🇧🇷 December 17, 2021

A szövetségi hatóságok és mások arra figyelmeztetik az egészségügyi szektor szervezeteit, akárcsak más iparágakban működő szervezeteket, hogy alaposan mérjék fel, hogyan azonosították a közelmúltban feltárt súlyos távoli kódfuttatási sebezhetőséget. Apache Log4j Java A naplózási könyvtár hatással lehet a környezetükre, majd gyorsan megoldja a problémát.

Az Egészségügyi és Humánszolgáltatási Minisztérium Egészségügyi Kiberbiztonsági Koordinációs KözpontHC3 egy december 10-én kiadott figyelmeztetésben azt tanácsolta az egészségügyi és közegészségügyi szervezeteknek, hogy vizsgálják meg infrastruktúrájukat, hogy megbizonyosodjanak arról, hogy nem futnak a Log4j sebezhető verziói.

"Minden sérülékeny rendszert frissíteni kell, és meg kell kezdeni a vállalati hálózat teljes körű vizsgálatát, hogy azonosítsák a lehetséges kizsákmányolást, ha sérülékeny verziót azonosítanak" - írja a tanács.

A HC4 szerint nem ismert, hogy a Log3j-t pontosan milyen mértékben alkalmazzák az egészségügyi szektorban. „Ez egy elterjedt alkalmazás, amelyet számos vállalat és vállalat használ felhő alkalmazások, köztük számos nagy és jól ismert gyártó. Ezért nagyon valószínű, hogy az egészségügyi szektort érinti ez a sebezhetőség, és valószínűleg nagy mértékben.”

A HC3 azt javasolja, hogy a sebezhetőséget kiemelt prioritásként kezeljék.

A nonprofit Apache Software Foundation által fenntartott nyílt forráskódú Log4j naplózási képességeket biztosít a Java alkalmazásokhoz, és széles körben használják, beleértve az Apache webszerver-szoftvereket is.

A hiba az Apache Log4j könyvtárban, a 2.0-beta9 és a 2.14.1 közötti verziókban, valamint a Az Egyesült Államok Kiberbiztonsági és Infrastruktúrabiztonsági Ügynöksége egy december 10-i riasztásban is azt tanácsolták a szervezeteknek minden szektorban, hogy a legnagyobb prioritást élvezzék a probléma megoldásában.

Pénteken a Food and Drug Administration riasztást is kiadott a Log4j hibája miatt, az orvostechnikai eszközök gyártói felé.

„A gyártóknak fel kell mérniük, hogy érinti-e őket a sebezhetőség, értékelniük kell a kockázatot, és ki kell dolgozniuk a kárelhárítási intézkedéseket. Mivel az Apache Log4j-t széles körben használják szoftverek, alkalmazások és szolgáltatások között, az orvostechnikai eszközök gyártóinak azt is értékelniük kell, hogy az orvostechnikai eszközeikben vagy azokkal együtt használt, harmadik féltől származó szoftverösszetevők vagy szolgáltatások használhatják-e az érintett szoftvert, és követniük kell a fenti folyamatot az eszköz hatásának felmérésére. ” – mondja az FDA.

A Log4j sebezhetősége által érintett gyártóknak kommunikálniuk kell ügyfeleikkel, és egyeztetniük kell a CISA-val – sürgeti az FDA. "Mivel ez egy folyamatban lévő és még mindig fejlődő probléma, javasoljuk a folyamatos éberséget és reagálást az orvosi eszközök megfelelő biztonságának biztosítása érdekében."

A HHS Állampolgári Jogi Hivatala, amely végrehajtja HIPAA, kedden szintén kiadott egy figyelmeztetést a CISA figyelmeztetése alapján.

"Tömeges probléma"

A Log4j hibája „nagy probléma az egész világon” – mondja Benjamin Denkers, a vállalat innovációs igazgatója. magánélet és a CynergisTek biztonsági tanácsadó cég.

„Minden iparág azzal töltötte az elmúlt hetet, hogy azonosítsa és helyreállítsa. A sebezhetőség könnyű kihasználása nem igényel magas szintű kifinomultságot. A sikeres kiaknázás lehetővé teszi a távoli kódfuttatást, ami a támadók számára támpontot ad a környezetbe.”

„Ez komoly probléma, és nem lehet lekicsinyelni, hogy a szervezeteknek milyen gyorsan kell reagálniuk” – mondja Erik Decker, a utahi székhelyű, Intermountain Healthcare egészségügyi szolgáltatási rendszer CISO-ja, a HHS kiberbiztonsági tanácsadó munkacsoportjának társelnöke. „Lehetővé teszi egy rossz szereplő számára, hogy távoli kódot hajtson végre az interneten keresztül sebezhető szervereken vagy downstream szervereken. A rossz szereplők az ehhez hasonló sebezhetőségeket használják első lépésként a nagyszabású kompromisszumokhoz.” azt mondja.

A szándék adatlopás lehet, ransomware, vagy a szellemi tulajdon ellopása, mondja. „Beszámoltak arról, hogy a Conti ransomware banda most ezt a sebezhetőséget használja ki zsarolóprogramok kibocsátására a belső rendszereken.”

Az egészségügyi szektor entitásai számára a Log4j egy nagyobb alkalmazásmegvalósítás része lenne, mondja Denkers. "Nem feltétlenül tudhatnád, hogy telepítve van, mivel ez lehet az egyik a több száz lehetséges csomag közül, amelyeket az alkalmazás futtatásához használnak."

Christopher Frenz, a Mount Sinai South Nassau kórház IT-biztonsági alelnöke a New York-i Oceanside-ban hasonló értékelést ad.

„Mivel a Log4j egy népszerű szoftverkönyvtár, amelyet rengeteg alkalmazásban használnak, ez azt is jelenti, hogy rengeteg olyan alkalmazás létezik, amelyek potenciálisan sebezhetőek a kihasználással szemben” – mondja.

"Ez a széles körben elterjedt használat azt jelenti, hogy nem csak nagy potenciális támadási felület áll fenn, hanem sok szervezet számára kihívást jelent, hogy megtalálja azokat a pontokat, amelyeken sebezhetőek."

A CISA összeállítja egy listát Frenz szerint a szervezetek elkezdhetik használni a sérülékeny alkalmazásokat, hogy felmérjék, hol van a sebezhetőségük, de sok orvosi szoftvergyártó és sebezhető alkalmazásokkal rendelkező orvosi eszközgyártó még nem szerepel a listán.

Logo CISA Nemzetbiztonsági Minisztérium

Decker szerint előfordulhat, hogy az entitások vállalataikban beépítik a Log4J-t, és nem veszik észre, mert „a jelenlegi sebezhetőség-ellenőrzőkkel nehéz felfedezni” – mondja.

„Sok gyártó nem engedélyezi a rendszergazdai hozzáférést a készülékeihez. A sebezhetőség feltárási folyamatukra kell hagyatkoznunk, hogy megtudjuk, a szoftver sebezhető-e vagy sem. Csak azért ne gondolja, mert a vizsgálat nem észleli a sebezhetőséget, hogy nincs ilyen példánya” – mondja.

Frenz azt mondja, hogy „hosszú ideje támogatója annak, hogy az egészségügyi szervezetek szoftveres anyagjegyzéket kérjenek az általuk beépített alkalmazásokhoz és eszközökhöz, és ez a sérülékenység egyértelműen mutatja, miért kritikus ez”.

A szoftveranyagjegyzék vagy SBOM minden alkalmazáshoz és eszközhöz sokkal könnyebbé tenné a sérülékenység azonosítását, mondja.

Harc a "FUD" ellen

Egyes szakértők szerint az egészségügyi szervezeteknek fel kell mérniük, hogy érintette-e őket a Log4j sebezhetősége, de a problémát megfelelő perspektívába is kell helyezniük. „A lényeg: a Log4j mindenütt jelen van az IT-alkalmazásokban, és nem jelent kifejezetten az egészséget fenyegető veszélyt” – mondja Denise Anderson, az Egészségügyi Információmegosztási és Elemző Központ elnöke az Information Security Media Groupnak adott nyilatkozatában.

„Mint mindig, most is figyelmen kívül kell hagyni a „zajt” és a félelmet, bizonytalanságot, kétséget – például a 800,000 4 „támadást”, amely kevésbé a tényleges támadásokról/kizsákmányolásokról szól, hanem a különféle emberekről, köztük kutatókról, akik keresnek. sebezhető eszközöket” – mondja, utalva különböző biztonsági szolgáltatók e heti jelentéseire, amelyekben azt állítják, hogy már több százezer támadási kísérletet blokkoltak. a LogXNUMXj hibáját kihasználva.

„Az alapvető mérséklési stratégia a 2.16.0-s verzióra, de legalább a 2.15.0-ra történő frissítés a lehető leghamarabb – ha nem is azonnal –, amikor egy adott környezetben lévő berendezést bizonyítják, hogy kihasználható” – mondja. A H-ISAC is kiadott egy hirdetőtábla az egészségügyi szektor kiszolgáltatottságáról december 10-én.

A H-ISAC tanácsadója megjegyzi, hogy egyes kutatók azt gyanítják, hogy egyes ransomware-szereplők már elkezdték kihasználni a sebezhetőséget a támadások ellen. (Lásd: A nemzetállami támadók naplója4j).

Link a teljes cikk elolvasásához itt https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

Havi hírlevél – 2022. január
Apache Log4j megjegyzések