ໃຫ້ຂ້າມໄປຫາເນື້ອໃນຕົ້ນຕໍ

ຂໍ້ບົກພ່ອງ Log4j: ຂະແໜງສາທາລະນະສຸກເຕືອນໃຫ້ດຳເນີນການ

ຜູ້ຊ່ຽວຊານ: ຂອບເຂດຂອງຜົນກະທົບທີ່ບໍ່ແນ່ນອນ, ແຕ່ຫນ່ວຍງານຕ້ອງປະເມີນ, ຫຼຸດຜ່ອນຄວາມສ່ຽງ

Marianne Kolbasuk McGee (HealthInfoSec🇧🇷 ເດືອນ​ທັນ​ວາ 17​, 2021

ອົງການຈັດຕັ້ງຂະແຫນງການເບິ່ງແຍງສຸຂະພາບ, ເຊັ່ນ: ຫນ່ວຍງານໃນທົ່ວອຸດສາຫະກໍາອື່ນໆ, ກໍາລັງຖືກເຕືອນໂດຍເຈົ້າຫນ້າທີ່ລັດຖະບານກາງແລະອື່ນໆເພື່ອປະເມີນຢ່າງລະມັດລະວັງວ່າຊ່ອງໂຫວ່ການປະຕິບັດລະຫັດຫ່າງໄກສອກຫຼີກທີ່ຮຸນແຮງທີ່ໄດ້ກໍານົດເມື່ອໄວໆມານີ້ຢູ່ໃນ Apache Log4j Java ຫໍສະຫມຸດບັນທຶກອາດຈະສົ່ງຜົນກະທົບຕໍ່ສະພາບແວດລ້ອມຂອງເຂົາເຈົ້າ, ແລະຫຼັງຈາກນັ້ນເພື່ອແກ້ໄຂບັນຫາຢ່າງໄວວາ.

ພະແນກສາທາລະນະສຸກ ແລະ ບໍລິການມະນຸດ ສູນປະສານງານດ້ານຄວາມປອດໄພທາງໄຊເບີຂອງຂະແໜງສາທາລະນະສຸກ, ຫຼື HC3, ໃນການແຈ້ງເຕືອນທີ່ອອກໃນວັນທີ 10 ທັນວາໄດ້ແນະນໍາອົງການສຸຂະພາບແລະສຸຂະພາບສາທາລະນະໃຫ້ສໍາຫຼວດໂຄງສ້າງພື້ນຖານຂອງພວກເຂົາເພື່ອຮັບປະກັນວ່າພວກເຂົາບໍ່ໄດ້ໃຊ້ Log4j ຮຸ່ນທີ່ມີຄວາມສ່ຽງ.

"ລະບົບທີ່ມີຄວາມສ່ຽງໃດໆຄວນໄດ້ຮັບການປັບປຸງ, ແລະການສືບສວນຢ່າງເຕັມທີ່ຂອງເຄືອຂ່າຍວິສາຫະກິດຄວນເລີ່ມຕົ້ນເພື່ອກໍານົດການຂູດຮີດທີ່ເປັນໄປໄດ້ຖ້າມີການກໍານົດສະບັບທີ່ມີຄວາມສ່ຽງ," ຄໍາແນະນໍາກ່າວວ່າ.

ຂອບເຂດທີ່ແນ່ນອນທີ່ Log4j ຖືກນໍາໄປໃຊ້ໃນທົ່ວຂະແຫນງສຸຂະພາບແມ່ນບໍ່ຮູ້, HC3 ເວົ້າ. “ມັນເປັນຄໍາຮ້ອງສະຫມັກທົ່ວໄປ, ນໍາໃຊ້ໂດຍວິສາຫະກິດຈໍານວນຫຼາຍແລະ ຟັງ ຄໍາຮ້ອງສະຫມັກ, ລວມທັງຜູ້ຂາຍຂະຫນາດໃຫຍ່ແລະມີຊື່ສຽງຫຼາຍ. ດັ່ງນັ້ນ, ມັນມີຄວາມເປັນໄປໄດ້ສູງທີ່ຂະແຫນງການສາທາລະນະສຸກໄດ້ຮັບຜົນກະທົບຈາກຄວາມອ່ອນແອນີ້, ແລະອາດຈະເປັນຂອບເຂດຂະຫນາດໃຫຍ່."

HC3 ແນະນໍາການປິ່ນປົວຈຸດອ່ອນເປັນບູລິມະສິດສູງ, ທີ່ປຶກສາກ່າວວ່າ.

ຮັກສາໄວ້ໂດຍມູນນິທິຊອບແວ Apache ທີ່ບໍ່ຫວັງຜົນກໍາໄລ, ແຫຼ່ງເປີດ Log4j ສະຫນອງຄວາມສາມາດໃນການບັນທຶກສໍາລັບຄໍາຮ້ອງສະຫມັກ Java ແລະຖືກນໍາໃຊ້ຢ່າງກວ້າງຂວາງ, ລວມທັງສໍາລັບ Apache web server software.

ຂໍ້ບົກພ່ອງແມ່ນມີຢູ່ໃນຫ້ອງສະຫມຸດ Apache Log4j, ຮຸ່ນ 2.0-beta9 ຫາ 2.14.1, ແລະ ອົງການຄວາມປອດໄພທາງໄຊເບີ ແລະໂຄງສ້າງພື້ນຖານຂອງສະຫະລັດ ໃນ​ການ​ແຈ້ງ​ເຕືອນ​ວັນ​ທີ 10 ທັນ​ວາ​ຍັງ​ໄດ້​ແນະ​ນໍາ​ໃຫ້​ບັນ​ດາ​ອົງ​ການ​ຈັດ​ຕັ້ງ​ໃນ​ທົ່ວ​ທຸກ​ຂະ​ແຫນງ​ການ​ວ່າ​ເຂົາ​ເຈົ້າ​ຄວນ​ແກ້​ໄຂ​ມັນ​ໂດຍ​ມີ​ບູ​ລິ​ມະ​ສິດ​ສູງ​ສຸດ.

ໃນວັນສຸກ, ໄດ້ ການຄຸ້ມຄອງອາຫານແລະຢາ ອອກການແຈ້ງເຕືອນກ່ຽວກັບຂໍ້ບົກພ່ອງ Log4j, ເຊັ່ນດຽວກັນ, ມຸ້ງໄປຫາຜູ້ຜະລິດອຸປະກອນທາງການແພດ.

"ຜູ້ຜະລິດຄວນປະເມີນວ່າພວກເຂົາໄດ້ຮັບຜົນກະທົບຈາກຄວາມອ່ອນແອ, ປະເມີນຄວາມສ່ຽງ, ແລະພັດທະນາການປະຕິບັດການແກ້ໄຂ. ເນື່ອງຈາກ Apache Log4j ຖືກນໍາໃຊ້ຢ່າງກວ້າງຂວາງໃນທົ່ວຊອບແວ, ແອັບພລິເຄຊັນ, ແລະການບໍລິການ, ຜູ້ຜະລິດອຸປະກອນທາງການແພດຄວນປະເມີນວ່າອົງປະກອບຂອງຊອບແວພາກສ່ວນທີສາມຫຼືບໍລິການທີ່ໃຊ້ໃນຫຼືກັບອຸປະກອນທາງການແພດຂອງພວກເຂົາອາດຈະໃຊ້ຊອບແວທີ່ໄດ້ຮັບຜົນກະທົບແລະປະຕິບັດຕາມຂະບວນການຂ້າງເທິງເພື່ອປະເມີນຜົນກະທົບຂອງອຸປະກອນ. , "FDA ເວົ້າ.

ຜູ້ຜະລິດທີ່ອາດຈະໄດ້ຮັບຜົນກະທົບຈາກຄວາມອ່ອນແອຂອງ Log4j ຄວນຕິດຕໍ່ສື່ສານກັບລູກຄ້າຂອງພວກເຂົາແລະປະສານງານກັບ CISA, FDA ຮຽກຮ້ອງໃຫ້. "ເນື່ອງຈາກວ່ານີ້ແມ່ນບັນຫາຢ່າງຕໍ່ເນື່ອງແລະຍັງພັດທະນາ, ພວກເຮົາຍັງແນະນໍາໃຫ້ສືບຕໍ່ລະມັດລະວັງແລະການຕອບສະຫນອງເພື່ອຮັບປະກັນອຸປະກອນທາງການແພດທີ່ເຫມາະສົມ."

HHS' Office for Civil Rights, ເຊິ່ງບັງຄັບໃຊ້ HIPAA, ໃນວັນອັງຄານຍັງໄດ້ອອກຄໍາແນະນໍາໂດຍອີງໃສ່ການແຈ້ງເຕືອນຂອງ CISA.

'ບັນຫາໃຫຍ່'

ຂໍ້ບົກພ່ອງຂອງ Log4j ແມ່ນ "ບັນຫາໃຫຍ່ໃນທົ່ວຄະນະ," Benjamin Denkers, ຫົວຫນ້າການປະດິດສ້າງຂອງ. ຄວາມ​ເປັນ​ສ່ວນ​ຕົວ ແລະທີ່ປຶກສາດ້ານຄວາມປອດໄພ CynergisTek.

"ທຸກໆອຸດສາຫະກໍາໄດ້ໃຊ້ເວລາໃນອາທິດທີ່ຜ່ານມາເພື່ອພະຍາຍາມກໍານົດແລະແກ້ໄຂ. ຄວາມງ່າຍຂອງການຂູດຮີດສໍາລັບຊ່ອງໂຫວ່ນີ້ບໍ່ຈໍາເປັນຕ້ອງມີລະດັບຄວາມຊັບຊ້ອນສູງ. ການຂູດຮີດສົບຜົນສໍາເລັດອະນຸຍາດໃຫ້ປະຕິບັດລະຫັດຫ່າງໄກສອກຫຼີກ, ເຊິ່ງເຮັດໃຫ້ຜູ້ໂຈມຕີເຂົ້າໄປໃນສະພາບແວດລ້ອມ."

Erik Decker, CISO ຂອງລະບົບການຈັດສົ່ງການດູແລສຸຂະພາບຂອງ Intermountain Healthcare ແລະປະທານຮ່ວມຂອງອົງການທີ່ປຶກສາດ້ານຄວາມປອດໄພທາງອິນເຕີເນັດຂອງ HHS ກ່າວວ່າ "ນີ້ແມ່ນບັນຫາທີ່ຮ້າຍແຮງແລະມັນບໍ່ສາມາດຖືກປະຕິເສດວ່າອົງການຈັດຕັ້ງຕ້ອງຕອບສະຫນອງຢ່າງໄວວາແນວໃດ," "ມັນອະນຸຍາດໃຫ້ນັກສະແດງທີ່ບໍ່ດີສາມາດປະຕິບັດລະຫັດຫ່າງໄກສອກຫຼີກຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍ, ຫຼືເຄື່ອງແມ່ຂ່າຍລຸ່ມ, ທີ່ມີຄວາມສ່ຽງຕໍ່ອິນເຕີເນັດ. ນັກສະແດງທີ່ບໍ່ດີໃຊ້ຄວາມອ່ອນແອເຊັ່ນນີ້ເປັນບາດກ້າວທໍາອິດຂອງພວກເຂົາໃນການປະນີປະນອມຂະຫນາດໃຫຍ່.” ລາວເວົ້າ.

ຈຸດປະສົງອາດຈະເປັນການລັກຂໍ້ມູນ, ransomwareລາວເວົ້າວ່າ, ຫຼືການລັກຊັບສິນທາງປັນຍາ. "ມັນໄດ້ຖືກລາຍງານວ່າ gang ransomware Conti ປະຈຸບັນກໍາລັງຂຸດຄົ້ນຊ່ອງຫວ່າງນີ້ເພື່ອປ່ອຍ ransomware ໃນລະບົບພາຍໃນ."

ສໍາລັບຫນ່ວຍງານຂອງຂະແຫນງການດູແລສຸຂະພາບ, Log4j ຈະເປັນສ່ວນຫນຶ່ງຂອງການປະຕິບັດຄໍາຮ້ອງສະຫມັກທີ່ໃຫຍ່ກວ່າ, Denkers ເວົ້າ. "ທ່ານບໍ່ຈໍາເປັນຕ້ອງຮູ້ວ່າມັນຖືກຕິດຕັ້ງ, ເພາະວ່າມັນສາມາດເປັນຫນຶ່ງໃນຫຼາຍຮ້ອຍແພັກເກັດທີ່ມີທ່າແຮງທີ່ຖືກນໍາໃຊ້ສໍາລັບແອັບພລິເຄຊັນນັ້ນເພື່ອດໍາເນີນການ."

Christopher Frenz, ຜູ້ຊ່ວຍຮອງປະທານຝ່າຍຄວາມປອດໄພດ້ານ IT ຂອງໂຮງຫມໍ Mount Sinai South Nassau ໃນ Oceanside, New York, ສະເຫນີການປະເມີນທີ່ຄ້າຍຄືກັນ.

"ເນື່ອງຈາກວ່າ Log4j ເປັນຫ້ອງສະຫມຸດຊອບແວທີ່ນິຍົມໃຊ້ໃນຫຼາຍຄໍາຮ້ອງສະຫມັກທີ່ຍັງຫມາຍຄວາມວ່າມີຫຼາຍຄໍາຮ້ອງສະຫມັກທີ່ມີຄວາມສ່ຽງຕໍ່ການຂູດຮີດ," ລາວເວົ້າ.

"ການນໍາໃຊ້ຢ່າງກວ້າງຂວາງນີ້ຫມາຍຄວາມວ່າບໍ່ພຽງແຕ່ມີຫນ້າດິນການໂຈມຕີທີ່ມີທ່າແຮງຂະຫນາດໃຫຍ່ເທົ່ານັ້ນ, ແຕ່ຍັງເປັນສິ່ງທ້າທາຍສໍາລັບຫລາຍອົງການທີ່ຈະຊອກຫາຈຸດທັງຫມົດທີ່ມີຄວາມສ່ຽງ."

CISA ກໍາລັງລວບລວມ ບັນຊີລາຍຊື່ ຂອງແອັບພລິເຄຊັນທີ່ມີຄວາມສ່ຽງທີ່ອົງການຈັດຕັ້ງສາມາດເລີ່ມໃຊ້ເພື່ອປະເມີນບ່ອນທີ່ພວກເຂົາອາດຈະມີຄວາມສ່ຽງ, ແຕ່ຜູ້ຂາຍຊອບແວທາງການແພດຈໍານວນຫຼາຍແລະຜູ້ຜະລິດອຸປະກອນທາງການແພດທີ່ມີແອັບພລິເຄຊັນທີ່ມີຄວາມສ່ຽງແມ່ນຍັງບໍ່ທັນຢູ່ໃນບັນຊີລາຍຊື່, Frenz ເວົ້າ.

ໂລໂກ້ CISA Department of Homeland Security

Decker ກ່າວວ່າຫນ່ວຍງານສາມາດມີ Log4J ໃນວິສາຫະກິດຂອງພວກເຂົາແລະບໍ່ຮູ້ເພາະວ່າມັນ "ຍາກທີ່ຈະຄົ້ນພົບກັບເຄື່ອງສະແກນທີ່ມີຄວາມສ່ຽງໃນປະຈຸບັນ," ລາວເວົ້າ.

"ຜູ້ຂາຍຫຼາຍຄົນບໍ່ອະນຸຍາດໃຫ້ເຂົ້າເຖິງການບໍລິຫານກັບເຄື່ອງໃຊ້ຂອງພວກເຂົາ. ພວກເຮົາຕ້ອງອີງໃສ່ຂະບວນການເປີດເຜີຍຄວາມອ່ອນແອຂອງເຂົາເຈົ້າເພື່ອຮູ້ວ່າຊອບແວມີຄວາມສ່ຽງຫຼືບໍ່. ຢ່າສົມມຸດວ່າພຽງແຕ່ຍ້ອນວ່າການສະແກນຂອງທ່ານບໍ່ໄດ້ກວດພົບຈຸດອ່ອນທີ່ທ່ານບໍ່ມີຕົວຢ່າງຂອງມັນ, "ລາວເວົ້າ.

Frenz ກ່າວວ່າລາວເປັນ "ຜູ້ສະ ໜັບ ສະ ໜູນ ເວລາດົນນານຂອງອົງການຈັດຕັ້ງການດູແລສຸຂະພາບທີ່ຮ້ອງຂໍໃຫ້ມີໃບເກັບເງິນຊອບແວ ສຳ ລັບແອັບພລິເຄຊັນແລະອຸປະກອນທີ່ພວກມັນຢູ່ເທິງເຮືອ, ແລະຈຸດອ່ອນນີ້ສະແດງໃຫ້ເຫັນຢ່າງຈະແຈ້ງວ່າເປັນຫຍັງມັນຈຶ່ງສໍາຄັນ."

ທ່ານກ່າວວ່າ, ບັນຊີລາຍການຊອບແວຂອງວັດສະດຸ, ຫຼື SBOM, ສໍາລັບທຸກໆແອັບພລິເຄຊັນແລະອຸປະກອນຈະເຮັດໃຫ້ການກໍານົດບ່ອນທີ່ມີຈຸດອ່ອນນີ້ງ່າຍຂຶ້ນ, ລາວເວົ້າ.

ການຕໍ່ສູ້ 'FUD'

ຫນ່ວຍງານການດູແລສຸຂະພາບຕ້ອງປະເມີນວ່າພວກເຂົາໄດ້ຮັບຜົນກະທົບຈາກຄວາມອ່ອນແອຂອງ Log4j, ແຕ່ຍັງຄວນເອົາບັນຫາເຂົ້າໄປໃນທັດສະນະທີ່ເຫມາະສົມ, ຜູ້ຊ່ຽວຊານບາງຄົນຮຽກຮ້ອງໃຫ້. "ເສັ້ນທາງລຸ່ມ: Log4j ແມ່ນມີຢູ່ທົ່ວທຸກແຫ່ງໃນທົ່ວແອັບພລິເຄຊັນ IT ແລະມັນບໍ່ແມ່ນໄພຂົ່ມຂູ່ສະເພາະຕໍ່ສຸຂະພາບ," Denise Anderson, ປະທານສູນແບ່ງປັນຂໍ້ມູນສຸຂະພາບແລະການວິເຄາະ, ກ່າວໃນຖະແຫຼງການຕໍ່ກຸ່ມສື່ມວນຊົນຄວາມປອດໄພຂໍ້ມູນຂ່າວສານ.

"ຕາມເຄີຍ, ມີຄວາມຕ້ອງການທີ່ຈະເບິ່ງຂ້າມຫຼາຍຂອງ 'ສິ່ງລົບກວນ' ແລະຄວາມຢ້ານກົວ, ຄວາມບໍ່ແນ່ນອນ, ຄວາມສົງໃສ - FUD - ເຊັ່ນ 800,000 'ການໂຈມຕີ' ຫນ້ອຍກ່ຽວກັບການໂຈມຕີ / ການຂູດຮີດຕົວຈິງແລະເພີ່ມເຕີມກ່ຽວກັບປະຊາຊົນຕ່າງໆ, ລວມທັງນັກຄົ້ນຄວ້າ, ການສະແກນສໍາລັບ ອຸປະກອນທີ່ມີຄວາມສ່ຽງ,” ນາງເວົ້າ, ໂດຍອ້າງອີງໃສ່ບົດລາຍງານຂອງຜູ້ຂາຍຄວາມປອດໄພຕ່າງໆໃນອາທິດນີ້ທີ່ພວກເຂົາອ້າງວ່າໄດ້ສະກັດກັ້ນການໂຈມຕີຫຼາຍຮ້ອຍພັນຄົນແລ້ວ. ພະຍາຍາມຂຸດຄົ້ນຂໍ້ບົກພ່ອງ Log4j.

"ຍຸດທະສາດການຫຼຸດຜ່ອນພື້ນຖານແມ່ນການຍົກລະດັບເປັນຮຸ່ນ 2.16.0 ແລະຢ່າງຫນ້ອຍເປັນ 2.15.0 ໃນທັນທີທີ່ເປັນໄປໄດ້ - ຖ້າບໍ່ແມ່ນທັນທີ - ເມື່ອເຄື່ອງໃຊ້ບາງຢ່າງໃນສະພາບແວດລ້ອມໄດ້ຖືກຢືນຢັນວ່າສາມາດຂຸດຄົ້ນໄດ້," ນາງເວົ້າ. H-ISAC ຍັງໄດ້ອອກ A bulletin ກ່ຽວ​ກັບ​ຄວາມ​ສ່ຽງ​ຕໍ່​ຂະ​ແໜງ​ສາທາລະນະ​ສຸກ​ໃນ​ວັນ​ທີ 10 ທັນວາ​ນີ້.

ຄໍາແນະນໍາຂອງ H-ISAC ສັງເກດເຫັນວ່ານັກຄົ້ນຄວ້າບາງຄົນສົງໃສວ່ານັກສະແດງ ransomware ບາງຄົນໄດ້ເລີ່ມໃຊ້ຈຸດອ່ອນສໍາລັບການໂຈມຕີແລ້ວ. (ເບິ່ງ: ຜູ້ໂຈມຕີແຫ່ງຊາດ-ລັດ Wielding Log4j).

ລິ້ງເພື່ອອ່ານບົດຄວາມເຕັມທີ່ນີ້ https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

ຈົດໝາຍຂ່າວປະຈຳເດືອນ – ມັງກອນ 2022
ແຈ້ງການ Apache Log4j