Errore Log4j: il settore sanitario è stato avvisato di prendere provvedimenti

Gli esperti: l'entità dell'impatto è incerta, ma le entità devono valutare e mitigare il rischio

Marianne Kolbasuk McGee (SaluteInfoSec) • Dicembre 17, 2021

Le organizzazioni del settore sanitario, come le entità di altri settori, sono state avvisate dalle autorità federali e da altri di valutare attentamente come la grave vulnerabilità di esecuzione di codice remoto recentemente identificata nel Apache Log4j Java la libreria di registrazione potrebbe influire sui loro ambienti e quindi risolvere rapidamente il problema.

Il Dipartimento della Salute e dei Servizi Umani Centro di coordinamento per la sicurezza informatica del settore sanitario, o HC3, in un avviso emesso il 10 dicembre ha consigliato alle organizzazioni sanitarie e di sanità pubblica di esaminare la propria infrastruttura per assicurarsi di non utilizzare versioni vulnerabili di Log4j.

"Tutti i sistemi vulnerabili dovrebbero essere aggiornati e si dovrebbe avviare un'indagine completa della rete aziendale per identificare possibili sfruttamenti nel caso in cui venga identificata una versione vulnerabile", afferma l'avviso.

L'esatta misura in cui Log4j viene distribuito nel settore sanitario è sconosciuta, afferma HC3. "È un'applicazione comune, utilizzata da molte aziende e Cloud applicazioni, tra cui diversi vendor grandi e noti. Pertanto, è altamente probabile che il settore sanitario sia interessato da questa vulnerabilità, e forse in larga scala.”

L'HC3 raccomanda di trattare la vulnerabilità con la massima priorità, afferma l'avviso.

Gestito dall'organizzazione non-profit Apache Software Foundation, il software open source Log4j offre funzionalità di registrazione per le applicazioni Java ed è ampiamente utilizzato, anche per il software del server web Apache.

Il difetto è presente nella libreria Apache Log4j, versioni 2.0-beta9 a 2.14.1, e Agenzia statunitense per la sicurezza informatica e la sicurezza delle infrastrutture in un avviso del 10 dicembre, si consigliava inoltre alle organizzazioni di tutti i settori di affrontare la questione con la massima priorità.

Venerdì il Food and Drug Administration ha emesso un avviso riguardante la falla Log4j, rivolto anche ai produttori di dispositivi medici.

"I produttori dovrebbero valutare se sono interessati dalla vulnerabilità, valutare il rischio e sviluppare azioni correttive. Poiché Apache Log4j è ampiamente utilizzato in software, applicazioni e servizi, i produttori di dispositivi medici dovrebbero anche valutare se i componenti software o i servizi di terze parti utilizzati nel o con il loro dispositivo medico possano utilizzare il software interessato e seguire il processo di cui sopra per valutare l'impatto sul dispositivo", afferma la FDA.

I produttori che potrebbero essere interessati dalla vulnerabilità Log4j dovrebbero comunicare con i propri clienti e coordinarsi con CISA, esorta la FDA. "Dato che si tratta di un problema in corso e in continua evoluzione, raccomandiamo anche una vigilanza e una risposta continue per garantire che i dispositivi medici siano adeguatamente protetti".

L'Ufficio per i diritti civili dell'HHS, che applica HIPAA, ha emesso martedì anche un avviso basato sull'allerta della CISA.

"Problema enorme"

Il difetto Log4j è “un problema enorme su tutta la linea”, afferma Benjamin Denkers, responsabile dell’innovazione presso Privacy e la società di consulenza sulla sicurezza CynergisTek.

"Ogni settore ha trascorso l'ultima settimana cercando di identificare e porre rimedio. La facilità di sfruttamento di questa vulnerabilità non richiede un alto livello di sofisticatezza. Lo sfruttamento riuscito consente l'esecuzione di codice remoto, che fornisce agli aggressori un punto d'appoggio nell'ambiente."

"Si tratta di un problema serio e non si può minimizzare la rapidità con cui le organizzazioni devono rispondere", afferma Erik Decker, CISO del sistema di fornitura di assistenza sanitaria Intermountain Healthcare con sede nello Utah e co-presidente di una task force consultiva sulla sicurezza informatica dell'HHS. "Consente a un malintenzionato di eseguire codice remoto su server, o server downstream, vulnerabili su Internet. I malintenzionati utilizzano vulnerabilità come queste come primo passo per compromessi su larga scala", afferma.

L'intenzione potrebbe essere il furto di dati, ransomware, o furto di proprietà intellettuale, dice. "È stato segnalato che la gang del ransomware Conti sta ora sfruttando questa vulnerabilità per rilasciare ransomware sui sistemi interni."

Per le entità del settore sanitario, Log4j farebbe parte di un'implementazione applicativa più ampia, afferma Denkers. "Non sapresti necessariamente che è stato installato, poiché potrebbe essere uno delle centinaia di potenziali pacchetti utilizzati per l'esecuzione di quell'applicazione".

Christopher Frenz, vicepresidente assistente per la sicurezza informatica dell'ospedale Mount Sinai South Nassau di Oceanside, New York, offre una valutazione simile.

"Poiché Log4j è una libreria software popolare utilizzata in una pletora di applicazioni, ciò significa anche che ci sono molte applicazioni potenzialmente vulnerabili allo sfruttamento", afferma.

"Questo uso diffuso implica non solo un'ampia potenziale superficie di attacco, ma anche una sfida per molte organizzazioni, anche solo individuare tutti i punti in cui sono vulnerabili".

La CISA sta compilando una lista di applicazioni vulnerabili che le organizzazioni possono iniziare a utilizzare per valutare dove potrebbero essere vulnerabili, ma molti fornitori di software medico e produttori di dispositivi medici con applicazioni vulnerabili non sono ancora nell'elenco, afferma Frenz.

Decker afferma che le entità potrebbero avere Log4J nelle loro aziende e non rendersene conto perché è "difficile da scoprire con gli attuali scanner di vulnerabilità", afferma.

"Molti vendor non consentono l'accesso amministrativo ai loro dispositivi. Dobbiamo affidarci al loro processo di divulgazione delle vulnerabilità per sapere se il software è vulnerabile o meno. Non dare per scontato che non ne hai istanze solo perché la tua scansione non rileva la vulnerabilità", afferma.

Frenz afferma di essere "un sostenitore di lunga data della richiesta da parte delle organizzazioni sanitarie di una distinta base del software per le applicazioni e i dispositivi che integrano, e questa vulnerabilità illustra chiaramente perché ciò sia fondamentale".

Secondo lui, una distinta base del software, o SBOM, per ogni applicazione e dispositivo renderebbe molto più semplice l'identificazione di dove si trova questa vulnerabilità.

Combattere il 'FUD'

Le entità sanitarie devono valutare se sono state colpite dalla vulnerabilità Log4j, ma dovrebbero anche mettere il problema nella giusta prospettiva, esortano alcuni esperti. "In conclusione: Log4j è onnipresente in tutte le applicazioni IT e non è una minaccia specifica per la salute", afferma Denise Anderson, presidente dell'Health Information Sharing and Analysis Center, in una dichiarazione a Information Security Media Group.

"Come sempre, è necessario ignorare molto del 'rumore' e della Paura, Incertezza, Dubbio (FUD) come 800,000 'attacchi' che riguardano meno gli attacchi/exploit reali e più le varie persone, compresi i ricercatori, che cercano dispositivi vulnerabili", afferma, riferendosi ai report di vari fornitori di sicurezza di questa settimana in cui affermano di aver già bloccato centinaia di migliaia di tentativi di attacco che sfruttano la falla Log4j.

"La strategia di mitigazione di base è quella di aggiornare alla versione 2.16.0 e almeno alla 2.15.0 il prima possibile, se non immediatamente, quando un'appliance in un ambiente viene confermata come sfruttabile", afferma. H-ISAC ha anche emesso un bollettino sulla vulnerabilità del settore sanitario il 10 dicembre.

L'avviso dell'H-ISAC rileva che alcuni ricercatori sospettano che alcuni autori di ransomware abbiano già iniziato a sfruttare la vulnerabilità per gli attacchi. (Vedi: Gli aggressori dello Stato-nazione brandiscono Log4j).

Link per leggere l'articolo completo qui https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

• Risorse e notizie correlate
• Rapporto sul panorama delle minacce all'assistenza sanitaria e sociale
• L'intelligenza artificiale agentiva in ambito sanitario è una proposta rischiosa
• Live@eXchange Giorno 2 – Analista di sicurezza dei dispositivi medici Health-ISAC
• Salute-ISAC Hacking Healthcare 6-3-2026
• Nuove vulnerabilità mirate al settore sanitario
• Newsletter mensile – Giugno 2026
• Cosa serve davvero per garantire l'assistenza sanitaria
• L'inventario dei dispositivi e la mappatura delle informazioni sanitarie protette (PHI) saranno le sfide più ardue quando entrerà in vigore la nuova normativa HIPAA.
• Verizon DBIR: il settore sanitario respinge i crescenti attacchi di ingegneria sociale.
• Rapporto sullo stato del rischio informatico umano