Kelemahan Log4j: Sektor Kesehatan Diperingatkan untuk Mengambil Tindakan
Para Ahli: Tingkat Dampaknya Belum Pasti, Namun Entitas Harus Menilai dan Memitigasi Risiko
Marianne Kolbasuk McGee (KesehatanInfoSec) • Desember 17, 2021
Organisasi sektor kesehatan, seperti entitas di seluruh industri lainnya, diperingatkan oleh otoritas federal dan pihak lain untuk menilai dengan hati-hati bagaimana kerentanan eksekusi kode jarak jauh yang baru-baru ini diidentifikasi di Apache Log4j Bahasa Jawa perpustakaan pencatatan mungkin memengaruhi lingkungan mereka, dan kemudian segera mengatasi masalah tersebut.
Departemen Kesehatan dan Layanan Kemanusiaan Pusat Koordinasi Keamanan Siber Sektor Kesehatan, atau HC3, dalam peringatan yang dikeluarkan pada 10 Desember menyarankan organisasi perawatan kesehatan dan kesehatan masyarakat untuk mensurvei infrastruktur mereka guna memastikan mereka tidak menjalankan versi Log4j yang rentan.
“Setiap sistem yang rentan harus ditingkatkan, dan penyelidikan menyeluruh terhadap jaringan perusahaan harus dimulai untuk mengidentifikasi kemungkinan eksploitasi jika versi yang rentan teridentifikasi,” kata penasihat tersebut.
Sejauh mana Log4j digunakan di seluruh sektor kesehatan tidak diketahui, kata HC3. “Ini adalah aplikasi umum, yang digunakan oleh banyak perusahaan dan awan aplikasi, termasuk beberapa vendor besar dan terkenal. Oleh karena itu, sangat mungkin sektor kesehatan terkena dampak kerentanan ini, dan mungkin dalam skala besar.”
HC3 menyarankan agar memperlakukan kerentanan sebagai prioritas tinggi, kata penasihat tersebut.
Dipelihara oleh Yayasan Perangkat Lunak Apache nirlaba, Log4j sumber terbuka menyediakan kemampuan pencatatan untuk aplikasi Java dan digunakan secara luas, termasuk untuk perangkat lunak server web Apache.
Kelemahan ini terdapat pada pustaka Apache Log4j, versi 2.0-beta9 hingga 2.14.1, dan Badan Keamanan Cybersecurity dan Infrastruktur AS dalam peringatan 10 Desember juga memberi saran kepada organisasi di semua sektor bahwa mereka harus memperbaikinya dengan prioritas tertinggi.
Pada hari Jumat, Food and Drug Administration juga mengeluarkan peringatan tentang kelemahan Log4j, yang ditujukan kepada produsen perangkat medis.
"Produsen harus menilai apakah mereka terpengaruh oleh kerentanan tersebut, mengevaluasi risikonya, dan mengembangkan tindakan perbaikan. Karena Apache Log4j digunakan secara luas di seluruh perangkat lunak, aplikasi, dan layanan, produsen perangkat medis juga harus mengevaluasi apakah komponen perangkat lunak atau layanan pihak ketiga yang digunakan dalam atau dengan perangkat medis mereka dapat menggunakan perangkat lunak yang terpengaruh dan mengikuti proses di atas untuk menilai dampak perangkat tersebut," kata FDA.
FDA menghimbau produsen yang mungkin terpengaruh oleh kerentanan Log4j harus berkomunikasi dengan pelanggan mereka dan berkoordinasi dengan CISA. “Karena ini adalah masalah yang terus berlanjut dan terus berkembang, kami juga merekomendasikan kewaspadaan dan respons berkelanjutan untuk memastikan perangkat medis diamankan dengan tepat.”
Kantor Hak Sipil HHS, yang menegakkan HIPAA, pada hari Selasa juga mengeluarkan peringatan berdasarkan peringatan CISA.
'Masalah Besar'
Kelemahan Log4j adalah “masalah besar secara keseluruhan,” kata Benjamin Denkers, kepala inovasi di pribadi dan konsultan keamanan CynergisTek.
“Setiap industri telah menghabiskan minggu terakhir untuk mencoba mengidentifikasi dan memperbaiki. Kemudahan eksploitasi untuk kerentanan ini tidak memerlukan tingkat kecanggihan yang tinggi. Eksploitasi yang berhasil memungkinkan eksekusi kode jarak jauh, yang memberi penyerang pijakan dalam lingkungan tersebut.”
"Ini adalah masalah serius dan tidak dapat diremehkan betapa cepatnya organisasi harus merespons," kata Erik Decker, CISO dari sistem penyediaan layanan kesehatan Intermountain Healthcare yang berbasis di Utah dan wakil ketua gugus tugas penasihat keamanan siber HHS. "Hal ini memungkinkan pelaku kejahatan untuk mengeksekusi kode jarak jauh terhadap server, atau server hilir, yang rentan melalui internet. Pelaku kejahatan menggunakan kerentanan seperti ini sebagai langkah pertama mereka dalam kompromi skala besar." katanya.
Tujuannya bisa jadi adalah pencurian data, ransomware, atau pencurian kekayaan intelektual, katanya. “Dilaporkan bahwa kelompok ransomware Conti kini mengeksploitasi kerentanan ini untuk merilis ransomware pada sistem internal.”
Bagi entitas sektor perawatan kesehatan, Log4j akan menjadi bagian dari implementasi aplikasi yang lebih besar, kata Denkers. “Anda belum tentu tahu bahwa aplikasi itu telah terinstal, karena bisa jadi aplikasi itu merupakan salah satu dari ratusan paket potensial yang digunakan untuk menjalankan aplikasi tersebut.”
Christopher Frenz, asisten wakil presiden keamanan TI rumah sakit Mount Sinai South Nassau di Oceanside, New York, menawarkan penilaian serupa.
“Karena Log4j adalah pustaka perangkat lunak populer yang digunakan dalam banyak aplikasi, itu juga berarti ada banyak aplikasi yang berpotensi rentan terhadap eksploitasi,” katanya.
“Penggunaan yang meluas ini berarti tidak hanya ada permukaan serangan potensial yang besar, tetapi juga tantangan bagi banyak organisasi untuk menemukan semua titik yang rentan.”
CISA sedang menyusun sebuah daftar aplikasi rentan yang dapat mulai digunakan organisasi untuk menilai di mana mereka mungkin memiliki kerentanan, tetapi banyak vendor perangkat lunak medis dan produsen perangkat medis dengan aplikasi rentan belum ada dalam daftar, kata Frenz.
Decker mengatakan entitas dapat memiliki Log4J di perusahaan mereka dan tidak menyadarinya karena “sulit untuk menemukannya dengan pemindai kerentanan saat ini,” katanya.
“Banyak vendor tidak mengizinkan akses administratif ke perangkat mereka. Kita harus mengandalkan proses pengungkapan kerentanan mereka untuk mengetahui apakah perangkat lunak tersebut rentan atau tidak. Jangan berasumsi hanya karena pemindaian Anda tidak mendeteksi kerentanan berarti Anda tidak memiliki contoh kerentanan,” katanya.
Frenz mengatakan bahwa ia telah menjadi “pendukung lama organisasi layanan kesehatan yang meminta daftar bahan perangkat lunak untuk aplikasi dan perangkat yang mereka gunakan, dan kerentanan ini dengan jelas menggambarkan mengapa hal ini penting.”
Ia mengatakan, Software Bill of Materials atau SBOM untuk setiap aplikasi dan perangkat akan memudahkan identifikasi keberadaan kerentanan ini.
Melawan 'FUD'
Entitas layanan kesehatan harus menilai apakah mereka telah terpengaruh oleh kerentanan Log4j, tetapi juga harus menempatkan masalah tersebut dalam perspektif yang tepat, beberapa pakar mendesak. "Intinya: Log4j ada di mana-mana dalam aplikasi TI dan bukan merupakan ancaman khusus untuk kesehatan," kata Denise Anderson, presiden Health Information Sharing and Analysis Center, dalam sebuah pernyataan kepada Information Security Media Group.
"Seperti biasa, ada kebutuhan untuk mengabaikan banyak 'kebisingan' dan Ketakutan, Ketidakpastian, Keraguan – FUD – seperti 800,000 'serangan' yang bukan tentang serangan/eksploitasi sebenarnya dan lebih banyak tentang berbagai orang, termasuk peneliti, yang memindai perangkat yang rentan," katanya, mengacu pada berbagai laporan vendor keamanan minggu ini di mana mereka mengklaim telah memblokir ratusan ribu upaya serangan yang mengeksploitasi kelemahan Log4j.
“Strategi mitigasi dasar adalah melakukan upgrade ke versi 2.16.0 dan minimal ke versi 2.15.0 sesegera mungkin – jika tidak segera – ketika beberapa peralatan di lingkungan dipastikan dapat dieksploitasi,” katanya. H-ISAC juga mengeluarkan buletin tentang kerentanan sektor kesehatan pada 10 Desember.
Catatan H-ISAC menyebutkan bahwa beberapa peneliti menduga bahwa beberapa pelaku ransomware telah mulai memanfaatkan kerentanan untuk melakukan serangan. (Lihat: Penyerang Negara-Bangsa Menggunakan Log4j).
Link untuk membaca artikel lengkapnya di sini https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149
- Sumber Daya & Berita Terkait