Log4j galli: Heilbrigðisgeirinn varaður við að grípa til aðgerða

Sérfræðingar: Umfang áhrifa óviss, en aðilar verða að meta, draga úr áhættu

Marianne Kolbasuk McGee (HealthInfoSec🇧🇷 Desember 17, 2021

Samtök í heilbrigðisgeiranum, eins og aðilar í öðrum atvinnugreinum, eru varaðir af alríkisyfirvöldum og öðrum til að meta vandlega hvernig nýlega greint var við alvarlega fjarrekstrarkóða varnarleysi í Apache Log4j Java skógarhögg bókasafn gæti haft áhrif á umhverfi þeirra, og þá til að taka fljótt á málinu.

Heilbrigðis- og mannmálaráðuneytið Samhæfingarstöð netöryggis heilbrigðisgeirans, eða HC3, í viðvörun sem gefin var út 10. desember ráðlagði heilbrigðis- og lýðheilsustofnunum að kanna innviði þeirra til að tryggja að þau séu ekki að keyra viðkvæmar útgáfur af Log4j.

„Allar viðkvæmar kerfi ættu að vera uppfærðar og full rannsókn á fyrirtækjanetinu ætti að hefja til að greina mögulega misnotkun ef viðkvæm útgáfa er auðkennd,“ segir í ráðgjöfinni.

Nákvæmt hversu mikið Log4j er notað í heilbrigðisgeiranum er óþekkt, segir HC3. „Þetta er algengt forrit, notað af mörgum fyrirtækjum og ský forrit, þar á meðal nokkrir stórir og vel þekktir söluaðilar. Þess vegna er mjög líklegt að heilbrigðisgeirinn verði fyrir áhrifum af þessari varnarleysi, og hugsanlega í stórum stíl.“

HC3 mælir með því að meðhöndla varnarleysið sem forgangsverkefni, segir ráðgjafinn.

Viðhaldið af Apache Software Foundation sem ekki er rekið í hagnaðarskyni, opinn Log4j býður upp á skógarhöggsmöguleika fyrir Java forrit og er mikið notaður, þar á meðal fyrir Apache vefþjónahugbúnað.

Gallinn er til staðar í Apache Log4j bókasafninu, útgáfum 2.0-beta9 til 2.14.1, og Bandaríska netöryggis- og innviðaöryggisstofnunin í viðvörun 10. desember ráðlagði einnig stofnunum í öllum geirum að þau ættu að nálgast það að laga það með hæsta forgangi.

Á föstudaginn, Matvæla-og lyfjaeftirlit gaf einnig út viðvörun um Log4j gallann, beint að framleiðendum lækningatækja.

„Framleiðendur ættu að meta hvort þeir verða fyrir áhrifum af varnarleysinu, meta áhættuna og þróa úrbætur. Þar sem Apache Log4j er mikið notað í hugbúnaði, forritum og þjónustu, ættu framleiðendur lækningatækja einnig að meta hvort hugbúnaðaríhlutir eða þjónusta þriðju aðila sem notuð eru í eða með lækningatækjum þeirra gætu notað viðkomandi hugbúnað og fylgja ofangreindu ferli til að meta áhrif tækisins. “ segir FDA.

Framleiðendur sem gætu orðið fyrir áhrifum af Log4j varnarleysinu ættu að hafa samskipti við viðskiptavini sína og samræma við CISA, hvetur FDA. „Þar sem þetta er viðvarandi og er enn í þróun, mælum við einnig með áframhaldandi árvekni og viðbrögðum til að tryggja að lækningatæki séu tryggð á viðeigandi hátt.

Borgararéttarskrifstofa HHS, sem framfylgir HIPAA, á þriðjudag gaf einnig út ráðgjöf sem byggist á viðvörun CISA.

„Stórkostlegt mál“

Log4j gallinn er „stórt mál á öllum sviðum,“ segir Benjamin Denkers, nýsköpunarstjóri hjá næði og öryggisráðgjafar CynergisTek.

„Sérhver atvinnugrein hefur eytt síðustu viku í að reyna að bera kennsl á og bæta úr. Auðveld nýting vegna þessa varnarleysis krefst ekki mikillar fágunar. Árangursrík nýting gerir kleift að keyra kóða fjarstýrð, sem gefur árásarmönnum fótfestu inn í umhverfið.

„Þetta er alvarlegt mál og það er ekki hægt að gera lítið úr því hversu fljótt stofnanir þurfa að bregðast við,“ segir Erik Decker, CISO hjá Intermountain Healthcare í heilbrigðisþjónustu í Utah og formaður ráðgjafahóps HHS um netöryggi. „Það gerir lélegum leikara kleift að keyra fjarkóða gegn netþjónum, eða niðurstreymisþjónum, sem eru viðkvæmir yfir internetinu. Slæmir leikarar nota veikleika sem þessa sem fyrsta skrefið í stórfelldum málamiðlanum.“ segir hann.

Ætlunin gæti verið gagnaþjófnaður, ransomware, eða hugverkaþjófnað, segir hann. „Það var greint frá því að Conti ransomware klíkan er nú að nýta sér þennan varnarleysi til að gefa út lausnarhugbúnað á innri kerfum.

Fyrir aðila í heilbrigðisgeiranum væri Log4j hluti af stærri umsóknarútfærslu, segir Denkers. "Þú myndir ekki endilega vita að það væri sett upp, þar sem það gæti verið einn af hundruðum hugsanlegra pakka sem eru notaðir fyrir það forrit til að keyra."

Christopher Frenz, aðstoðarforstjóri upplýsingatækniöryggis á Mount Sinai South Nassau sjúkrahúsinu í Oceanside, New York, býður upp á svipað mat.

„Vegna þess að Log4j er vinsælt hugbúnaðarsafn sem notað er í ofgnótt af forritum þýðir það líka að það er mikið af forritum sem eru hugsanlega viðkvæm fyrir að nýta,“ segir hann.

„Þessi útbreidda notkun þýðir að það er ekki aðeins stórt hugsanlegt árásarflöt, heldur áskorun fyrir margar stofnanir að jafnvel finna alla staðina þar sem þau eru viðkvæm.

CISA er að safna saman listi af viðkvæmum forritum sem stofnanir geta byrjað að nota til að meta hvar þau gætu haft varnarleysið, en margir lækningahugbúnaðarframleiðendur og lækningatækjaframleiðendur með viðkvæm forrit eru ekki enn á listanum, segir Frenz.

Decker segir að aðilar gætu haft Log4J í fyrirtækjum sínum og ekki áttað sig á því vegna þess að það er „erfitt að uppgötva með núverandi varnarleysisskanna,“ segir hann.

„Margir söluaðilar leyfa ekki stjórnunaraðgang að tækjum sínum. Við verðum að treysta á upplýsingaferli þeirra um varnarleysi til að vita hvort hugbúnaðurinn er viðkvæmur eða ekki. Ekki gera ráð fyrir því bara vegna þess að skönnun þín greinir ekki varnarleysið að þú hafir engin dæmi um það,“ segir hann.

Frenz segist hafa verið „langan tíma talsmaður þess að heilbrigðisstofnanir biðji um hugbúnaðarskrá fyrir forrit og tæki sem þau eru um borð í, og þessi varnarleysi sýnir greinilega hvers vegna þetta er mikilvægt.

Hugbúnaðarskrá, eða SBOM, fyrir hvert forrit og tæki myndi auðvelda að bera kennsl á hvar þessi varnarleysi var til staðar, segir hann.

Berjast við „FUD“

Heilbrigðisstofnanir verða að meta hvort þeir hafi orðið fyrir áhrifum af Log4j varnarleysinu, en ættu einnig að setja vandamálið í rétt sjónarhorn, hvetja sumir sérfræðingar. „Niðurstaðan: Log4j er alls staðar nálægur í upplýsingatækniforritum og það er ekki sérstök ógn við heilsu,“ segir Denise Anderson, forseti Heilsuupplýsingamiðlunar og greiningarmiðstöðvar, í yfirlýsingu til Information Security Media Group.

„Eins og alltaf er þörf á að horfa framhjá miklu af „hávaða“ og ótta, óvissu, efa – FUD – eins og 800,000 „árásir“ eru minna um raunverulegar árásir/nýtingar og meira um ýmislegt fólk, þar á meðal vísindamenn, sem leita að viðkvæm tæki,“ segir hún og vísar til skýrslna ýmissa öryggisframleiðenda í vikunni þar sem þeir segjast þegar hafa komið í veg fyrir hundruð þúsunda árásstilrauna þar sem Log4j galli.

„Grunnunaraðferðin er að uppfæra í útgáfu 2.16.0 og að minnsta kosti í 2.15.0 eins fljótt og auðið er – ef ekki strax – þegar staðfest er að einhver tæki í umhverfi sé hagnýt,“ segir hún. H-ISAC gaf einnig út a Bulletin um varnarleysi í heilbrigðisgeiranum 10. des.

H-ISAC ráðgjöfin bendir á að suma vísindamenn grunar að sumir lausnarhugbúnaðarleikarar séu þegar farnir að nýta varnarleysið fyrir árásum. (Sjá: Árásarmenn þjóðríkis með Log4j).

Tengill til að lesa greinina í heild sinni hér https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

• Tengdar heimildir og fréttir
• Skýrsla um ógnlandslag heilbrigðisþjónustu og félagsaðstoðar
• Gervigreind í heilbrigðisþjónustu er áhættusöm tillaga
• Live@eXchange Dagur 2 – Öryggisgreinandi lækningatækja hjá Health-ISAC
• Health-ISAC Hacking Healthcare 6-3-2026
• Nýjar veikleikar sem beinast að heilbrigðisgeiranum
• Mánaðarlegt fréttabréf – júní 2026
• Það sem raunverulega þarf til að tryggja heilbrigðisþjónustu
• Tækjabirgðir og PHI kortlagning verða þyngstu lyfturnar þegar nýja HIPAA fellur úr gildi
• Verizon DBIR: Heilbrigðisþjónustan berst gegn auknum árásum á samfélagsverkfræði
• Skýrsla um stöðu netáhættu hjá mönnum