Wiessel Haaptberäich

Log4j Feeler: Gesondheetssektor gewarnt Handlung ze huelen

Experten: Ausmooss vum Impakt onsécher, awer Entitéite musse bewäerten, Risiko reduzéieren

Marianne Kolbasuk McGee (HealthInfoSec) • • Dezember 17, 2021

Gesondheetssektororganisatiounen, wéi Entitéiten an aner Industrien, gi vu Féderalen Autoritéiten an anerer gewarnt fir suergfälteg ze bewäerten wéi déi kierzlech identifizéiert schwéier Remote Code Ausféierung Schwachstelle an der Apache Log4j Java Logbibliothéik kéint hir Ëmfeld beaflossen, an dann d'Fro séier unzegoen.

D'Departement fir Gesondheet a Mënscherechter Gesondheetssektor Cybersecurity Coordination Center, oder HC3, an enger Alarm erausginn Dezember 10 ugeroden Gesondheetsversuergung an ëffentlech Gesondheetsorganisatiounen hir Infrastruktur ze iwwerpréiwen fir sécherzestellen datt se net vulnerabel Versioune vu Log4j lafen.

"All vulnérabel Systemer solle aktualiséiert ginn, an eng voll Untersuchung vum Enterprise-Netzwierk soll ufänken fir méiglech Ausbeutung z'identifizéieren wann eng vulnérabel Versioun identifizéiert gëtt", seet de Berodung.

De genauen Ausmooss wéi de Log4j am ganze Gesondheetssektor agesat gëtt ass onbekannt, seet den HC3. "Et ass eng gemeinsam Applikatioun, benotzt vu villen Entreprisen an Wollek Uwendungen, dorënner e puer grouss a gutt-bekannt Ubidder. Dofir ass et héich wahrscheinlech datt de Gesondheetssecteur vun dëser Schwachstelle beaflosst ass, a méiglecherweis zu engem groussen Ausmooss.

HC3 recommandéiert d'Schwachheet als eng héich Prioritéit ze behandelen, seet de Berodung.

Ënnerhalt vun der Nonprofit Apache Software Foundation, Open-Source Log4j bitt Loggingsfäegkeeten fir Java Uwendungen a gëtt wäit benotzt, och fir Apache Webserver Software.

De Feeler ass präsent an der Apache Log4j Bibliothéik, Versiounen 2.0-beta9 bis 2.14.1, an der US Cybersecurity and Infrastructure Security Agency an enger Alarm vum 10. Dezember huet och Organisatiounen an alle Secteuren ugeroden, datt se solle mat der héchster Prioritéit fixéieren.

Um Freideg ass de Liewensmëttel an Drog Verwaltung huet eng Alarm iwwer de Log4j Mängel erausginn, och, riicht op medizinesch Geräter Hiersteller.

"Fabrikanten solle beurteelen ob se vun der Schwachstelle betraff sinn, de Risiko evaluéieren an Sanéierungsaktiounen entwéckelen. Well Apache Log4j wäit iwwer Software, Uwendungen a Servicer benotzt gëtt, sollten medizinesch Geräter Hiersteller och evaluéieren ob Drëtt-Partei Software Komponenten oder Servicer, déi an oder mat hirem medizineschen Apparat benotzt ginn, déi betraff Software benotze kënnen an den uewe genannte Prozess verfollegen fir den Impakt vum Apparat ze bewäerten ", seet d'FDA.

Hiersteller, déi vun der Log4j Schwachstelle betraff sinn, solle mat hire Clienten kommunizéieren a mat CISA koordinéieren, fuerdert d'FDA. "Well dëst e kontinuéierlechen an nach ëmmer evoluéierende Problem ass, empfeelen mir och weider Vigilance an Äntwert fir sécherzestellen datt medizinesch Geräter entspriechend geséchert sinn."

HHS 'Office fir Biergerrechter, déi duerchsetze HIPAA, huet en Dënschdeg och eng Berodung erausginn op Basis vun der Alarm vum CISA.

'Massive Issue'

De Log4j Feeler ass "e massivt Thema iwwerall", seet de Benjamin Denkers, Chef Innovatiounsoffizéier bei Privatsphär a Sécherheetsberodung CynergisTek.

"All Industrie huet déi lescht Woch verbruecht fir ze identifizéieren an ze sanéieren. D'Liichtegkeet vun der Ausbeutung fir dës Schwachstelle erfuerdert keen héijen Niveau vu Raffinesséierung. Erfollegräich Ausbeutung erlaabt d'Remote Code Ausféierung, déi Ugräifer e Fouss an d'Ëmwelt ginn.

"Dëst ass e seriöse Problem an et kann net ofgespillt ginn wéi séier Organisatiounen mussen äntweren", seet den Erik Decker, CISO vum Utah-baséierte Gesondheetsversuergungssystem Intermountain Healthcare a Co-President vun enger HHS Cybersecurity Advisory Task Force. "Et erlaabt e schlechte Schauspiller Remote Code géint Serveren auszeféieren, oder Downstream Serveren, déi vulnérabel iwwer den Internet sinn. Schlecht Akteuren benotzen Schwachstelle wéi dës als hiren éischte Schrëtt a grousse Kompromëss. hie seet.

D'Absicht kéint Dateklau sinn, ransomware, oder Intellektuell Eegentum Vol, seet hien. "Et gouf gemellt datt d'Conti Ransomware Bande elo dës Schwachstelle exploitéiert fir Ransomware op intern Systemer ze verëffentlechen."

Fir de Gesondheetssektor Entitéite wier Log4j Deel vun enger gréisserer Uwendungsimplementatioun, seet Denkers. "Dir wäert net onbedéngt wëssen datt et installéiert ass, well et kéint ee vun Honnerte vu potenzielle Packagen sinn, déi benotzt gi fir dës Applikatioun ze lafen."

Christopher Frenz, Assistent Vizepresident vun IT Sécherheet vum Mount Sinai South Nassau Spidol zu Oceanside, New York, bitt eng ähnlech Bewäertung.

"Well Log4j eng populär Softwarebibliothéik ass, déi an enger Onmass vun Uwendungen benotzt gëtt, dat heescht och datt et en Iwwerfloss vun Uwendungen ass, déi potenziell vulnérabel sinn ze exploitéieren," seet hien.

"Dës verbreet Notzung heescht datt et net nëmmen eng grouss potenziell Attackfläch ass, awer eng Erausfuerderung fir vill Organisatiounen och all d'Punkten ze lokaliséieren op deenen se vulnérabel sinn."

CISA kompiléiert eng Lëscht vu vulnérabelen Uwendungen, déi Organisatiounen kënnen ufänken ze benotzen fir ze beurteelen, wou se d'Schwachstelle kënnen hunn, awer vill medizinesch Software Ubidder a medizinesch Geräter Hiersteller mat vulnérabelen Uwendungen sinn nach net op der Lëscht, seet Frenz.

Logo CISA Departement vun Homeland Sécherheet

Decker seet datt Entitéite Log4J an hiren Entreprisen hätten an et net realiséieren well et "schwéier ass mat den aktuellen Schwachstelle Scanner ze entdecken", seet hien.

"Vill Ubidder erlaben net den administrativen Zougang zu hiren Apparater. Mir mussen op hire Schwachstelle Verëffentlechungsprozess vertrauen fir ze wëssen ob d'Software vulnérabel ass oder net. Gitt net un, just well Äre Scannen d'Schwachheet net erkennt datt Dir keng Instanzen dovun hutt, "seet hien.

Frenz seet datt hien "e laangjärege Proponent vu Gesondheetsorganisatiounen war, déi eng Softwarerechnung vu Materialien fir Uwendungen an Apparater ufroen, déi se u Bord hunn, an dës Schwachstelle illustréiert kloer firwat dëst kritesch ass."

E Software Bill of Materials, oder SBOM, fir all Applikatioun an Apparat géif d'Identifikatioun wou dës Schwachstelle existéiert vill méi einfach maachen, seet hien.

Kampf 'FUD'

Gesondheetsversuergungsentitéite mussen beurteelen ob se vun der Log4j Schwachstelle betraff sinn, awer sollten och de Problem an déi richteg Perspektiv setzen, fuerderen e puer Experten. "Ënnen Linn: Log4j ass ubiquitär uechter IT Uwendungen an et ass keng Bedrohung spezifesch fir d'Gesondheet", seet Denise Anderson, President vum Health Information Sharing and Analysis Center, an enger Erklärung un d'Information Security Media Group.

"Wéi ëmmer ass et néideg vill vun de" Kaméidi "an Angscht, Onsécherheet, Zweiwel - FUD - wéi 800,000" Attacken " manner iwwer aktuell Attacken / Exploiten a méi iwwer verschidde Leit, dorënner Fuerscher, Scannen fir vulnerabel Geräter, "seet si, a bezitt sech op verschidde Sécherheetsverkeefer Berichter dës Woch, an där se behaapten datt se schonn Honnerte vun Dausende vun Attacke blockéiert hunn, déi de Log4j Feeler.

"D'Basis-Mitigatiounsstrategie ass d'Upgrade op d'Versioun 2.16.0 an op e Minimum op 2.15.0 sou séier wéi méiglech - wann net direkt - wann e puer Apparat an engem Ëmfeld bestätegt ass ausnotabel ze sinn", seet si. H-ISAC erausginn och eng Bulletin iwwer d'Schwachheet fir de Gesondheetssecteur den 10. Dezember.

D'H-ISAC Berodung stellt fest datt e puer Fuerscher de Verdacht hunn datt e puer Ransomware Akteuren scho ugefaang hunn d'Schwachheet fir Attacken ze profitéieren. (kuckt: Nation-Staat Ugräifer déi Log4j).

Link fir de ganzen Artikel hei ze liesen https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

Mount Newsletter - Januar 2022
Apache Log4j Notifikatiounen