Pereiti į pagrindinį turinį

„Log4j“ trūkumas: sveikatos priežiūros sektorius įspėtas imtis veiksmų

Ekspertai: poveikio mastas neaiškus, bet subjektai turi įvertinti, sumažinti riziką

Marianne Kolbasuk McGee (HealthInfoSec🇧🇷 Gruodžio 17 d., 2021

Sveikatos priežiūros sektoriaus organizacijas, kaip ir kitų pramonės šakų subjektus, federalinės valdžios institucijos ir kiti įspėja atidžiai įvertinti, kaip neseniai buvo nustatytas rimtas nuotolinio kodo vykdymo pažeidžiamumas. Apache Log4j Java registravimo biblioteka gali paveikti jų aplinką ir greitai išspręsti problemą.

Sveikatos ir žmogiškųjų paslaugų departamentas Sveikatos sektoriaus kibernetinio saugumo koordinavimo centras, arba HC3, gruodžio 10 d. paskelbtame įspėjime sveikatos priežiūros ir visuomenės sveikatos organizacijoms patarė ištirti savo infrastruktūrą, kad įsitikintų, jog jose nenaudojamos pažeidžiamos Log4j versijos.

„Visos pažeidžiamos sistemos turėtų būti atnaujintos ir turėtų būti pradėtas išsamus įmonės tinklo tyrimas, siekiant nustatyti galimą išnaudojimą, jei nustatoma pažeidžiama versija“, – sakoma patarime.

Tikslus mastas, kuriuo Log4j yra naudojamas visame sveikatos sektoriuje, nežinomas, sako HC3. „Tai įprasta programa, kurią naudoja daugelis įmonių ir debesis programas, įskaitant kelis didelius ir gerai žinomus pardavėjus. Todėl labai tikėtina, kad šis pažeidžiamumas paveiks sveikatos sektorių ir galbūt didelio masto.

HC3 rekomenduoja pažeidžiamumui laikyti didelį prioritetą, sakoma patarime.

Atvirojo kodo Log4j, kurį prižiūri ne pelno siekiantis „Apache Software Foundation“, suteikia „Java“ programų registravimo galimybes ir yra plačiai naudojamas, įskaitant „Apache“ žiniatinklio serverio programinę įrangą.

Trūkumas yra Apache Log4j bibliotekoje, 2.0-beta9–2.14.1 versijose ir JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra gruodžio 10 d. įspėjime taip pat buvo pranešta visų sektorių organizacijoms, kad jos turėtų imtis didžiausių prioritetų.

Penktadienį Maisto ir vaistų administracija paskelbė įspėjimą apie Log4j trūkumą, taip pat, skirtą medicinos prietaisų gamintojams.

„Gamintojai turėtų įvertinti, ar juos pažeidžia pažeidžiamumas, įvertinti riziką ir parengti taisymo veiksmus. Kadangi „Apache Log4j“ plačiai naudojamas įvairiose programinėje įrangoje, programose ir paslaugose, medicinos prietaisų gamintojai taip pat turėtų įvertinti, ar trečiųjų šalių programinės įrangos komponentai arba paslaugos, naudojamos jų medicinos prietaise arba su jais, gali naudoti paveiktą programinę įrangą, ir vadovautis pirmiau nurodytu procesu, kad įvertintų įrenginio poveikį. “, - sako FDA.

Gamintojai, kuriuos gali paveikti Log4j pažeidžiamumas, turėtų bendrauti su savo klientais ir derinti veiksmus su CISA, ragina FDA. „Kadangi tai yra nuolatinė ir vis besikeičianti problema, taip pat rekomenduojame būti budriems ir reaguoti, kad medicinos prietaisai būtų tinkamai apsaugoti.

HHS pilietinių teisių biuras, kuris vykdo HIPAA, antradienį taip pat paskelbė įspėjimą, pagrįstą CISA perspėjimu.

„Didelė problema“

„Log4j“ trūkumas yra „didžiulė problema“, sako Benjaminas Denkersas, vyriausiasis inovacijų vadovas. privatumo ir saugumo konsultacijos CynergisTek.

„Kiekviena pramonės šaka praėjusią savaitę praleido bandydama nustatyti ir ištaisyti. Kad būtų lengva išnaudoti šį pažeidžiamumą, nereikia didelio sudėtingumo. Sėkmingas išnaudojimas leidžia nuotoliniu būdu vykdyti kodą, o tai suteikia užpuolikams įsitvirtinti aplinkoje.

„Tai rimta problema ir negalima sumenkinti, kaip greitai organizacijos turi reaguoti“, – sako Erikas Deckeris, Jutoje įsikūrusios sveikatos priežiūros sistemos „Intermountain Healthcare“ CISO ir HHS kibernetinio saugumo patariamosios darbo grupės pirmininkas. „Tai leidžia blogam veikėjui vykdyti nuotolinį kodą prieš serverius arba tolesnius serverius, kurie yra pažeidžiami internete. Blogi aktoriai naudoja tokius pažeidžiamumus kaip pirmuosius žingsnius plataus masto kompromisuose. sako jis.

Tikslas gali būti duomenų vagystė, Ransomware, arba intelektinės nuosavybės vagystė, sako jis. „Buvo pranešta, kad Conti ransomware gauja dabar naudojasi šiuo pažeidžiamumu, kad išleistų išpirkos reikalaujančias programas vidaus sistemose.

Sveikatos priežiūros sektoriaus subjektams Log4j būtų didesnės programos įgyvendinimo dalis, teigia Denkersas. „Nebūtinai žinotumėte, kad ji įdiegta, nes tai gali būti vienas iš šimtų galimų paketų, naudojamų šiai programai paleisti.

Christopher Frenz, Sinajaus kalno Pietų Nasau ligoninės IT saugumo viceprezidentas Okeanside, Niujorke, siūlo panašų vertinimą.

„Kadangi Log4j yra populiari programinės įrangos biblioteka, naudojama daugybėje programų, tai taip pat reiškia, kad yra daugybė programų, kurios gali būti pažeidžiamos, – sako jis.

„Šis plačiai paplitęs naudojimas reiškia, kad yra ne tik didelis potencialus atakų paviršius, bet ir iššūkis daugeliui organizacijų net surasti visas vietas, kuriose jos yra pažeidžiamos.

CISA rengia sąrašas pažeidžiamų programų, kurias organizacijos gali pradėti naudoti, kad įvertintų, kur jos gali turėti pažeidžiamumą, tačiau daugelio medicinos programinės įrangos pardavėjų ir medicinos prietaisų gamintojų, turinčių pažeidžiamas programas, sąraše dar nėra, sako Frenzas.

Logotipas CISA Valstybės saugumo departamentas

Deckeris teigia, kad įmonės gali turėti Log4J savo įmonėse ir to nesuvokti, nes „sunku jį aptikti naudojant dabartinius pažeidžiamumo skaitytuvus“, – sako jis.

„Daugelis pardavėjų neleidžia administracinės prieigos prie savo prietaisų. Turime pasikliauti jų pažeidžiamumo atskleidimo procesu, kad žinotume, ar programinė įranga yra pažeidžiama, ar ne. Nemanykite, kad vien dėl to, kad jūsų nuskaitymas neaptinka pažeidžiamumo, jo neturite“, – sako jis.

Frenzas sako, kad jis „ilgalaikis sveikatos priežiūros organizacijų, reikalaujančių programinės įrangos medžiagų sąskaitoje, skirtos taikomoms programoms ir įrenginiams, šalininkas, ir šis pažeidžiamumas aiškiai parodo, kodėl tai labai svarbu“.

Jis sako, kad naudojant programinės įrangos medžiagų sąmatą arba SBOM kiekvienai programai ir įrenginiui būtų lengviau nustatyti, kur buvo šis pažeidžiamumas.

Kova su FUD

Kai kurie ekspertai ragina sveikatos priežiūros subjektai įvertinti, ar juos paveikė „Log4j“ pažeidžiamumas, tačiau taip pat turėtų tinkamai įvertinti problemą. „Esmė: „Log4j“ yra visur paplitęs visose IT programose ir nekelia specifinės grėsmės sveikatai“, – sakoma Denise Anderson, Sveikatos informacijos dalijimosi ir analizės centro prezidentė, pranešime Information Security Media Group.

„Kaip visada, reikia nekreipti dėmesio į daug „triukšmo“ ir baimės, netikrumo, abejonių – FUD, pavyzdžiui, 800,000 4 „išpuolių“ yra mažiau susiję su realiais išpuoliais / išnaudojimais, o daugiau apie įvairius žmones, įskaitant tyrėjus, kurie ieško. pažeidžiami įrenginiai“, – sako ji, remdamasi įvairių saugumo pardavėjų šios savaitės pranešimais, kuriuose jie teigia jau užblokavę šimtus tūkstančių atakų bandymų. išnaudojant LogXNUMXj trūkumą.

„Pagrindinė švelninimo strategija yra kuo greičiau atnaujinti į 2.16.0 ir bent iki 2.15.0 versijos, jei ne iš karto, kai patvirtinama, kad aplinkoje esantis įrenginys yra tinkamas eksploatuoti“, – sako ji. H-ISAC taip pat išleido a biuletenis apie pažeidžiamumą sveikatos sektoriui gruodžio 10 d.

H-ISAC patarime pažymima, kad kai kurie tyrėjai įtaria, kad kai kurie išpirkos reikalaujančių programų dalyviai jau pradėjo panaudoti atakų pažeidžiamumą. (Žr.: Nacionalinės valstybės užpuolikų valdymas Log4j).

Nuoroda perskaityti visą straipsnį čia https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

Mėnesinis naujienlaiškis – 2022 m. sausio mėn
„Apache Log4j“ pranešimai