Skip to main content

Log4j ხარვეზი: ჯანდაცვის სექტორი გაფრთხილებულია ზომების მისაღებად

ექსპერტები: ზემოქმედების მასშტაბი გაურკვეველია, მაგრამ სუბიექტებმა უნდა შეაფასონ, შეამსუბუქონ რისკი

მარიან კოლბასუკ მაკგი (HealthInfoSec🇧🇷 დეკემბერი 17, 2021

ჯანდაცვის სექტორის ორგანიზაციები, ისევე როგორც სხვა ინდუსტრიების სუბიექტები, გაფრთხილებულნი არიან ფედერალური ხელისუფლებისა და სხვების მიერ, რომ გულდასმით შეაფასონ, როგორ გამოვლინდა ბოლო დროს დისტანციური კოდის შესრულების მძიმე დაუცველობა. Apache Log4j Java ჟურნალის ბიბლიოთეკამ შეიძლება გავლენა მოახდინოს მათ გარემოზე და შემდეგ სწრაფად მოაგვაროს პრობლემა.

ჯანდაცვისა და ადამიანთა მომსახურების დეპარტამენტი ჯანდაცვის სექტორის კიბერუსაფრთხოების საკოორდინაციო ცენტრი, ან HC3, 10 დეკემბერს გამოქვეყნებულ გაფრთხილებაში ურჩევდა ჯანდაცვის და საზოგადოებრივი ჯანდაცვის ორგანიზაციებს, გამოიკვლიონ თავიანთი ინფრასტრუქტურა, რათა დარწმუნდნენ, რომ ისინი არ იყენებდნენ Log4j-ის დაუცველ ვერსიებს.

„ნებისმიერი დაუცველი სისტემა უნდა განახლდეს და საწარმოს ქსელის სრული გამოძიება უნდა დაიწყოს, რათა მოხდეს შესაძლო ექსპლუატაციის იდენტიფიცირება, თუ დაუცველი ვერსია გამოვლინდება“, - ნათქვამია კონსულტაციაში.

ზუსტი ზომით, რომლითაც Log4j არის განლაგებული ჯანდაცვის სექტორში, უცნობია, ამბობს HC3. „ეს არის ჩვეულებრივი აპლიკაცია, რომელსაც იყენებს მრავალი საწარმო და Cloud აპლიკაციები, მათ შორის რამდენიმე დიდი და ცნობილი გამყიდველი. ამიტომ, ძალიან სავარაუდოა, რომ ჯანდაცვის სექტორი დაზარალდეს ამ მოწყვლადობით და, შესაძლოა, ფართო მასშტაბით. ”

HC3 რეკომენდაციას უწევს დაუცველობას, როგორც მაღალ პრიორიტეტს, ნათქვამია რჩევაში.

არაკომერციული Apache Software Foundation-ის მიერ შენარჩუნებული, ღია კოდის Log4j უზრუნველყოფს ჯავის აპლიკაციების ჩაწერის შესაძლებლობებს და ფართოდ გამოიყენება, მათ შორის Apache ვებ სერვერის პროგრამული უზრუნველყოფისთვის.

ხარვეზი არის Apache Log4j ბიბლიოთეკაში, ვერსიები 2.0-beta9-დან 2.14.1-მდე და აშშ კიბერუსაფრთხოების და ინფრასტრუქტურის უსაფრთხოების სააგენტო 10 დეკემბრის გაფრთხილებაში ასევე ურჩია ორგანიზაციებს ყველა სექტორში, რომ მათ უნდა მიმართონ მის გამოსწორებას უმაღლესი პრიორიტეტით.

პარასკევს, სურსათისა და წამლის ადმინისტრაციის გამოსცა გაფრთხილება Log4j ხარვეზის შესახებ, ასევე, მიმართული სამედიცინო მოწყობილობების მწარმოებლებისთვის.

„მწარმოებლებმა უნდა შეაფასონ, არიან თუ არა მათზე დაუცველობა, შეაფასონ რისკი და განავითარონ სარეაბილიტაციო ღონისძიებები. ვინაიდან Apache Log4j ფართოდ გამოიყენება პროგრამულ უზრუნველყოფაში, აპლიკაციებსა და სერვისებში, სამედიცინო მოწყობილობების მწარმოებლებმა ასევე უნდა შეაფასონ, შეიძლება თუ არა მესამე მხარის პროგრამული უზრუნველყოფის კომპონენტებმა ან სერვისებმა, რომლებიც გამოიყენება მათ სამედიცინო მოწყობილობაში ან მათთან ერთად, გამოიყენონ დაზარალებული პროგრამული უზრუნველყოფა და მიჰყვეს ზემოთ მოცემულ პროცესს მოწყობილობის გავლენის შესაფასებლად. ", - ნათქვამია FDA-ში.

მწარმოებლებმა, რომლებიც შეიძლება დაზარალდნენ Log4j დაუცველობით, უნდა დაუკავშირდნენ თავიანთ კლიენტებს და კოორდინაცია გაუწიონ CISA-ს, FDA მოუწოდებს. ”რადგან ეს არის მიმდინარე და ჯერ კიდევ განვითარებადი საკითხი, ჩვენ ასევე გირჩევთ სიფხიზლისა და რეაგირების გაგრძელებას, რათა უზრუნველყოს სამედიცინო მოწყობილობები სათანადოდ დაცული.”

HHS-ის სამოქალაქო უფლებების ოფისი, რომელიც აღასრულებს HIPAAსამშაბათს ასევე გამოაქვეყნა კონსულტაცია CISA-ს განგაშის საფუძველზე.

"მასიური საკითხი"

Log4j-ის ხარვეზი არის „მასიური საკითხი მთელს მსოფლიოში“, ამბობს ბენჯამინ დენკერსი, ინოვაციის მთავარი ოფიცერი. კონფიდენციალურობის და უსაფრთხოების საკონსულტაციო კომპანია CynergisTek.

”ყველა ინდუსტრია ატარებს ბოლო კვირას, რათა გამოავლინოს და გამოსწორდეს. ამ დაუცველობის გამოყენების სიმარტივე არ საჭიროებს დახვეწილობის მაღალ დონეს. წარმატებული ექსპლუატაცია იძლევა კოდის დისტანციური შესრულების საშუალებას, რაც თავდამსხმელებს გარემოში დასაყრდენის საშუალებას აძლევს“.

”ეს სერიოზული საკითხია და არ შეიძლება შეფასდეს, თუ რამდენად სწრაფად სჭირდებათ ორგანიზაციებს რეაგირება”, - ამბობს ერიკ დეკერი, იუტაში დაფუძნებული ჯანდაცვის მიწოდების სისტემის CISO და HHS კიბერუსაფრთხოების საკონსულტაციო სამუშაო ჯგუფის თანათავმჯდომარე. ”ეს საშუალებას აძლევს ცუდ მსახიობს შეასრულოს დისტანციური კოდი სერვერების ან ქვედა დინების სერვერების წინააღმდეგ, რომლებიც დაუცველია ინტერნეტში. ცუდი მსახიობები იყენებენ მსგავს დაუცველობას, როგორც პირველ ნაბიჯს ფართომასშტაბიანი კომპრომისებისკენ“. ამბობს ის.

განზრახვა შეიძლება იყოს მონაცემთა ქურდობა, ransomware, ან ინტელექტუალური საკუთრების ქურდობა, ამბობს ის. "გავრცელდა ინფორმაცია, რომ Conti გამოსასყიდი ბანდა ახლა იყენებს ამ დაუცველობას შიდა სისტემებზე გამოსასყიდი პროგრამების გასათავისუფლებლად."

ჯანდაცვის სექტორის ერთეულებისთვის, Log4j იქნება უფრო ფართო განაცხადის დანერგვის ნაწილი, ამბობს დენკერსი. ”თქვენ არ იცით, რომ ის დაინსტალირებულია, რადგან ეს შეიძლება იყოს ერთ-ერთი ასობით პოტენციური პაკეტიდან, რომელიც გამოიყენება ამ აპლიკაციის გასაშვებად.”

ანალოგიურ შეფასებას გვთავაზობს კრისტოფერ ფრენცი, ასისტენტი IT უსაფრთხოების ვიცე-პრეზიდენტის ასისტენტი სინაის სამხრეთ ნასაუს საავადმყოფოს Oceanside, New York.

„რადგან Log4j არის პოპულარული პროგრამული ბიბლიოთეკა, რომელიც გამოიყენება აპლიკაციების სიმრავლეში, რაც ასევე ნიშნავს, რომ არსებობს უამრავი აპლიკაცია, რომლებიც პოტენციურად დაუცველია ექსპლუატაციისთვის“, - ამბობს ის.

”ეს ფართო გამოყენება ნიშნავს, რომ არსებობს არა მხოლოდ დიდი პოტენციური თავდასხმის ზედაპირი, არამედ გამოწვევა მრავალი ორგანიზაციისთვის, რათა დადგინდეს ყველა ის წერტილი, სადაც ისინი დაუცველნი არიან.”

CISA ადგენს სია დაუცველი აპლიკაციების, რომელთა გამოყენება ორგანიზაციებს შეუძლიათ დაიწყონ იმის შესაფასებლად, თუ სად შეიძლება ჰქონდეთ დაუცველობა, მაგრამ სამედიცინო პროგრამული უზრუნველყოფის მრავალი მწარმოებელი და სამედიცინო მოწყობილობების მწარმოებელი დაუცველი აპლიკაციებით ჯერ არ არის სიაში, ამბობს ფრენცი.

ლოგო CISA შიდა უსაფრთხოების დეპარტამენტი

დეკერი ამბობს, რომ სუბიექტებს შეუძლიათ ჰქონდეთ Log4J თავიანთ საწარმოებში და ვერ გააცნობიერონ ეს, რადგან „ძნელია აღმოჩენა ამჟამინდელი დაუცველობის სკანერებით“, ამბობს ის.

„ბევრი გამყიდველი არ იძლევა ადმინისტრაციულ წვდომას მათ მოწყობილობებზე. ჩვენ უნდა დავეყრდნოთ მათ დაუცველობის გამჟღავნების პროცესს, რათა ვიცოდეთ, არის თუ არა პროგრამა დაუცველი. არ იფიქროთ მხოლოდ იმიტომ, რომ თქვენი სკანირება არ აღმოაჩენს დაუცველობას, რომ თქვენ არ გაქვთ ამის შემთხვევები, ”- ამბობს ის.

ფრენცი ამბობს, რომ ის იყო „დიდი ხნის განმავლობაში ჯანდაცვის ორგანიზაციების მომხრე, რომლებიც ითხოვდნენ მასალების პროგრამულ ანგარიშს აპლიკაციებისა და მოწყობილობებისთვის, რომლებზეც ისინი სარგებლობენ, და ეს დაუცველობა ნათლად ასახავს, ​​თუ რატომ არის ეს კრიტიკული“.

პროგრამული უზრუნველყოფის მასალების ბილეთი, ან SBOM, ყველა აპლიკაციისა და მოწყობილობისთვის ბევრად უფრო ადვილი იქნებოდა იმის დადგენა, თუ სად არსებობდა ეს დაუცველობა, ამბობს ის.

ბრძოლა "FUD"

ჯანდაცვის უწყებებმა უნდა შეაფასონ, დაზარალდნენ თუ არა მათზე Log4j დაუცველობა, მაგრამ ასევე უნდა განიხილონ პრობლემა სათანადო პერსპექტივაში, ზოგიერთ ექსპერტს მოუწოდებს. ”ძირითადი ხაზი: Log4j არის ყველგან გავრცელებული IT აპლიკაციებში და ის არ წარმოადგენს საფრთხეს ჯანმრთელობისთვის”, - ამბობს დენის ანდერსონი, ჯანმრთელობის ინფორმაციის გაზიარებისა და ანალიზის ცენტრის პრეზიდენტი, ინფორმაციის უსაფრთხოების მედია ჯგუფისთვის განცხადებაში.

„როგორც ყოველთვის, საჭიროა მხედველობაში მივიღოთ ბევრი „ხმაური“ და შიში, გაურკვევლობა, ეჭვი – FUD – მაგალითად, 800,000 „თავდასხმა“ ნაკლებია რეალურ თავდასხმებზე/ექსპლოიტეებზე და უფრო მეტად სხვადასხვა ადამიანებზე, მათ შორის მკვლევარებზე, სკანირებაზე. დაუცველი მოწყობილობები, ”- ამბობს ის, ამ კვირაში უსაფრთხოების სხვადასხვა მოვაჭრეების ანგარიშებზე მითითებით, სადაც ისინი აცხადებენ, რომ უკვე დაბლოკეს ასობით ათასი თავდასხმა Log4j ხარვეზის გამოყენების მცდელობები.

„ძირითადი შერბილების სტრატეგია არის განახლება 2.16.0 ვერსიამდე და მინიმუმ 2.15.0-ზე რაც შეიძლება მალე - თუ არა დაუყოვნებლივ - როდესაც გარემოში არსებული ზოგიერთი მოწყობილობა დადასტურებულია, რომ ექსპლუატირებადია", - ამბობს ის. H-ISAC-მა ასევე გასცა ა ბიულეტენი ჯანდაცვის სექტორის დაუცველობის შესახებ 10 დეკემბერს.

H-ISAC რჩევა აღნიშნავს, რომ ზოგიერთი მკვლევარი ეჭვობს, რომ ზოგიერთი გამოსასყიდი პროგრამის მონაწილემ უკვე დაიწყო თავდასხმების დაუცველობის გამოყენება. (იხილეთ: ერი-სახელმწიფო თავდამსხმელები, რომლებიც ფლობენ Log4j).

ლინკი სრული სტატიის წასაკითხად აქ https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

ყოველთვიური ბიულეტენი – 2022 წლის იანვარი
Apache Log4j შეტყობინებები