메인 컨텐츠로 가기

Log4j 결함: 의료 부문에 조치 취하라는 경고

전문가: 영향 범위 불확실, 그러나 기업은 위험을 평가하고 완화해야 함

마리안 콜바숙 맥기 (건강정보보안🇧🇷 2021 년 12 월 17 일

다른 산업의 기관과 마찬가지로 의료 분야 조직은 연방 당국 및 기타 기관으로부터 최근 확인된 심각한 원격 코드 실행 취약성을 신중하게 평가하라는 경고를 받고 있습니다. 아파치 Log4j 자바 로깅 라이브러리가 환경에 영향을 미칠 수 있는지 확인하고, 문제를 신속히 해결합니다.

보건복지부의 건강 부문 사이버 보안 조정 센터, 또는 HC3는 10월 4일에 발표한 경고에서 의료 및 공중 보건 기관에 인프라를 조사하여 취약한 버전의 LogXNUMXj를 실행하지 않도록 권고했습니다.

"취약한 시스템은 모두 업그레이드해야 하며, 취약한 버전이 식별되면 가능한 악용을 식별하기 위해 엔터프라이즈 네트워크에 대한 전체 조사를 시작해야 합니다."라고 이 권고문에 나와 있습니다.

HC4에 따르면 Log3j가 건강 부문 전체에 얼마나 정확하게 배포되었는지는 알 수 없습니다. "이것은 많은 기업과 클라우드 여러 대형 및 잘 알려진 공급업체를 포함한 애플리케이션. 따라서 건강 부문이 이 취약성의 영향을 받을 가능성이 매우 높으며, 아마도 대규모로 영향을 받을 가능성이 높습니다."

HC3에서는 이 취약점을 높은 우선순위로 처리할 것을 권고하고 있습니다.

비영리 단체인 Apache 소프트웨어 재단에서 유지 관리하는 오픈 소스 Log4j는 Java 애플리케이션에 대한 로깅 기능을 제공하며 Apache 웹 서버 소프트웨어를 포함하여 널리 사용됩니다.

이 결함은 Apache Log4j 라이브러리 버전 2.0-beta9~2.14.1에 존재합니다. 미국 사이버 보안 및 인프라 보안 기관 10월 XNUMX일 경보에서는 모든 부문의 조직에 최우선 순위로 이 문제를 해결하라고 조언했습니다.

금요일에, 식품 의약품 안전청 또한 의료 기기 제조업체를 대상으로 Log4j 결함에 대한 경고를 발표했습니다.

FDA는 "제조업체는 취약성의 영향을 받는지 평가하고, 위험을 평가하고, 시정 조치를 개발해야 합니다. Apache Log4j는 소프트웨어, 애플리케이션 및 서비스 전반에 걸쳐 광범위하게 사용되므로 의료 기기 제조업체는 의료 기기에서 또는 의료 기기와 함께 사용되는 타사 소프트웨어 구성 요소 또는 서비스가 영향을 받는 소프트웨어를 사용할 수 있는지도 평가하고 위의 프로세스에 따라 기기 영향을 평가해야 합니다."라고 말합니다.

Log4j 취약성의 영향을 받을 수 있는 제조업체는 고객과 소통하고 CISA와 협력해야 한다고 FDA는 촉구합니다. "이것은 진행 중이고 여전히 진화하는 문제이므로 의료 기기가 적절하게 보호되도록 지속적인 경계와 대응을 권장합니다."

HHS의 시민권 사무국은 다음을 시행합니다. HIPAA , 화요일에는 CISA의 경고에 따라 권고안도 발표했습니다.

'대규모 이슈'

Log4j 결함은 "전반적으로 큰 문제"라고 최고 혁신 책임자인 Benjamin Denkers가 말했습니다. 개인 정보 보호 보안 컨설팅 회사 CynergisTek.

"모든 산업은 지난주를 식별하고 수정하는 데 보냈습니다. 이 취약성을 악용하는 데는 높은 수준의 정교함이 필요하지 않습니다. 성공적인 악용은 원격 코드 실행을 허용하여 공격자에게 환경으로의 발판을 제공합니다."

"이것은 심각한 문제이며 조직이 얼마나 빨리 대응해야 하는지 과소평가할 수 없습니다." 유타에 있는 의료 서비스 제공 시스템 Intermountain Healthcare의 CISO이자 HHS 사이버 보안 자문 태스크포스의 공동 의장인 에릭 데커의 말입니다. "이것은 악의적인 행위자가 인터넷을 통해 취약한 서버 또는 다운스트림 서버에 대해 원격 코드를 실행할 수 있게 해줍니다. 악의적인 행위자는 이러한 취약성을 대규모 침해의 첫 단계로 사용합니다." 그는 말합니다.

데이터 도난이 의도일 수 있습니다. 랜섬, 또는 지적 재산권 도난이라고 그는 말합니다. "Conti 랜섬웨어 갱단이 이 취약성을 악용해 내부 시스템에 랜섬웨어를 배포하고 있다는 보고가 있었습니다."

Denkers는 의료 부문 기관의 경우 Log4j가 더 큰 애플리케이션 구현의 일부가 될 것이라고 말합니다. "그 애플리케이션이 실행되도록 활용되는 수백 개의 잠재적 패키지 중 하나일 수 있으므로 반드시 설치되었는지 알 수는 없습니다."

뉴욕 오션사이드에 있는 마운트 시나이 사우스 나소 병원의 IT 보안 담당 부사장보인 크리스토퍼 프렌츠도 비슷한 평가를 내렸습니다.

"Log4j는 다양한 애플리케이션에서 사용되는 인기 있는 소프트웨어 라이브러리이기 때문에 잠재적으로 악용될 수 있는 취약한 애플리케이션도 많다는 것을 의미합니다."라고 그는 말합니다.

"이러한 광범위한 사용은 잠재적인 공격 표면이 클 뿐만 아니라 많은 조직이 취약한 모든 지점을 찾는 것조차 어렵다는 것을 의미합니다."

CISA가 편집 중입니다 목록 프렌츠는 취약한 애플리케이션을 사용해 조직이 취약성이 있는 곳을 평가할 수 있지만, 취약한 애플리케이션을 보유한 많은 의료 소프트웨어 공급업체와 의료 기기 제조업체는 아직 목록에 포함되지 않았다고 말했습니다.

로고 CISA 국토안보부

Decker는 기업이 Log4J를 사용하더라도 이를 인식하지 못하는 경우가 있다고 말했습니다. 그는 "현재 취약성 스캐너로는 이를 발견하기 어렵기 때문"이라고 말했습니다.

"많은 공급업체가 자사 기기에 대한 관리자 액세스를 허용하지 않습니다. 소프트웨어가 취약한지 여부를 알기 위해서는 취약성 공개 프로세스에 의존해야 합니다. 스캐닝에서 취약성을 감지하지 못했다고 해서 해당 취약성의 인스턴스가 없다고 가정하지 마세요."라고 그는 말합니다.

프렌츠는 "오랫동안 의료 기관이 온보딩하는 애플리케이션과 장치에 대한 소프트웨어 자재 청구서를 요청하는 것을 지지해 왔으며, 이 취약성은 이것이 왜 중요한지 명확히 보여준다"고 말했습니다.

모든 애플리케이션과 장치에 대한 SBOM(소프트웨어 자재 목록)을 사용하면 이러한 취약점이 존재하는 위치를 훨씬 더 쉽게 식별할 수 있다고 그는 말합니다.

'FUD'와의 싸움

일부 전문가들은 의료 기관이 Log4j 취약성의 영향을 받았는지 평가해야 하지만, 문제를 적절한 관점에서 바라봐야 한다고 촉구합니다. Health Information Sharing and Analysis Center의 사장인 데니스 앤더슨은 Information Security Media Group에 보낸 성명에서 "결론은 Log4j가 IT 애플리케이션 전반에 널리 퍼져 있으며 건강에만 국한된 위협이 아니라는 것입니다."라고 말했습니다.

그녀는 "언제나 그렇듯이 800,000만 건의 '공격'이 실제 공격/악용과 관련이 적고 연구원을 포함한 다양한 사람들이 취약한 장치를 스캔한 것과 관련이 있다는 등의 '소음'과 두려움, 불확실성, 의심(FUD)을 간과할 필요가 있습니다."라며 이번 주에 여러 보안 공급업체가 Log4j 결함을 악용한 수십만 건의 공격 시도를 이미 차단했다고 주장하는 보고서를 언급했습니다.

그녀는 "기본적인 완화 전략은 환경의 어떤 어플라이언스가 악용될 수 있다는 것이 확인되면 가능한 한 빨리, 아니면 즉시, 2.16.0 버전으로 업그레이드하고 최소한 2.15.0 버전으로 업그레이드하는 것입니다."라고 말했습니다. H-ISAC은 또한 회보 10월 XNUMX일에 건강 부문의 취약성에 대해 발표했습니다.

H-ISAC 권고문은 일부 연구자들이 일부 랜섬웨어 행위자들이 이미 공격을 위해 취약성을 활용하기 시작했다고 의심한다고 언급합니다. (참조: Log4j를 사용하는 국가 공격자).

전체 기사를 읽으려면 여기를 클릭하세요 https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

월간 뉴스레터 - 2022년 XNUMX월
Apache Log4j 공지