Log4j-fout: gezondheidszorgsector gewaarschuwd om actie te ondernemen

Deskundigen: omvang van impact onzeker, maar entiteiten moeten risico's beoordelen en beperken

Marianne Kolbasuk McGee (GezondheidsinfoSec) • December 17, 2021

Organisaties in de gezondheidszorg, net als entiteiten in andere sectoren, worden door federale autoriteiten en andere instanties gewaarschuwd om zorgvuldig te beoordelen hoe de onlangs geïdentificeerde ernstige kwetsbaarheid voor uitvoering van code op afstand in de Apache Log4j Java logboekbibliotheek hun omgevingen kan beïnvloeden, en vervolgens het probleem snel aan te pakken.

Het ministerie van Volksgezondheid en Welzijn Coördinatiecentrum voor cyberbeveiliging in de gezondheidszorg, of HC3, adviseerde organisaties in de gezondheidszorg en volksgezondheid in een waarschuwing van 10 december om hun infrastructuur te controleren om er zeker van te zijn dat ze geen kwetsbare versies van Log4j gebruiken.

"Alle kwetsbare systemen moeten worden geüpgraded en er moet een volledig onderzoek van het bedrijfsnetwerk worden gestart om mogelijke exploitatie te identificeren als er een kwetsbare versie wordt geïdentificeerd", aldus het advies.

De exacte mate waarin Log4j in de hele gezondheidssector wordt ingezet, is onbekend, zegt HC3. "Het is een veelvoorkomende toepassing, die door veel ondernemingen en cloud applicaties, waaronder verschillende grote en bekende leveranciers. Daarom is het zeer waarschijnlijk dat de gezondheidssector wordt beïnvloed door deze kwetsbaarheid, en mogelijk op grote schaal.”

HC3 adviseert om de kwetsbaarheid met hoge prioriteit te behandelen, aldus het advies.

Het open-source Log4j wordt onderhouden door de non-profitorganisatie Apache Software Foundation en biedt loggingmogelijkheden voor Java-applicaties. Het wordt veel gebruikt, onder andere voor Apache-webserversoftware.

Het gebrek is aanwezig in de Apache Log4j-bibliotheek, versies 2.0-beta9 tot 2.14.1, en de US Cybersecurity and Infrastructure Security Agency in een waarschuwing van 10 december adviseerde het organisaties in alle sectoren dat ze het probleem met de hoogste prioriteit moesten oplossen.

Op vrijdag, de Food and Drug Administration heeft ook een waarschuwing uitgegeven over het Log4j-lek, gericht aan fabrikanten van medische apparatuur.

"Fabrikanten moeten beoordelen of ze worden getroffen door de kwetsbaarheid, het risico evalueren en herstelmaatregelen ontwikkelen. Aangezien Apache Log4j breed wordt gebruikt in software, applicaties en services, moeten fabrikanten van medische apparaten ook beoordelen of softwarecomponenten of services van derden die worden gebruikt in of met hun medische apparaat, de getroffen software kunnen gebruiken en het bovenstaande proces volgen om de impact van het apparaat te beoordelen", aldus de FDA.

Fabrikanten die mogelijk worden getroffen door de Log4j-kwetsbaarheid, moeten communiceren met hun klanten en coördineren met CISA, dringt de FDA aan. "Aangezien dit een voortdurend en nog steeds evoluerend probleem is, raden we ook aan om voortdurend waakzaam te zijn en te reageren om ervoor te zorgen dat medische apparaten op de juiste manier worden beveiligd."

Het Bureau voor Burgerrechten van HHS, dat toezicht houdt op de naleving van HIPAAheeft dinsdag ook een advies uitgebracht op basis van de waarschuwing van CISA.

'Enorm probleem'

Het Log4j-lek is “een enorm probleem op alle fronten”, zegt Benjamin Denkers, Chief Innovation Officer bij privacy en beveiligingsadviesbureau CynergisTek.

“Elke industrie heeft de afgelopen week geprobeerd deze kwetsbaarheid te identificeren en te verhelpen. Het gemak van het exploiteren van deze kwetsbaarheid vereist geen hoog niveau van verfijning. Succesvolle exploitatie maakt het mogelijk om code op afstand uit te voeren, wat aanvallers een voet aan de grond geeft in de omgeving.”

"Dit is een serieus probleem en het kan niet worden gebagatelliseerd hoe snel organisaties moeten reageren", zegt Erik Decker, CISO van het in Utah gevestigde zorgverleningssysteem Intermountain Healthcare en medevoorzitter van een HHS cybersecurity-adviesgroep. "Hierdoor kan een kwaadwillende externe code uitvoeren op servers, of downstream-servers, die kwetsbaar zijn via internet. Kwaadwillenden gebruiken kwetsbaarheden als deze als hun eerste stap in grootschalige inbreuken", zegt hij.

Het doel kan zijn om gegevens te stelen, ransomware, of diefstal van intellectueel eigendom, zegt hij. “Er werd gemeld dat de Conti-ransomwarebende nu misbruik maakt van deze kwetsbaarheid om ransomware op interne systemen los te laten.”

Voor entiteiten in de gezondheidszorgsector zou Log4j deel uitmaken van een grotere applicatie-implementatie, zegt Denkers. "Je zou niet per se weten dat het is geïnstalleerd, omdat het een van de honderden potentiële pakketten kan zijn die worden gebruikt om die applicatie te laten draaien."

Christopher Frenz, assistent-vicevoorzitter van IT-beveiliging bij het Mount Sinai South Nassau-ziekenhuis in Oceanside, New York, geeft een soortgelijke beoordeling.

"Omdat Log4j een populaire softwarebibliotheek is die in een groot aantal applicaties wordt gebruikt, betekent dit ook dat er een overvloed aan applicaties is die potentieel kwetsbaar zijn voor misbruik", zegt hij.

“Dit wijdverbreide gebruik betekent niet alleen dat er een groot potentieel aanvalsoppervlak is, maar ook dat het voor veel organisaties een uitdaging is om alle punten te lokaliseren waarop ze kwetsbaar zijn.”

CISA is bezig met het samenstellen een lijst Volgens Frenz zijn er veel leveranciers van medische software en fabrikanten van medische apparatuur met kwetsbare applicaties die organisaties kunnen gebruiken om te beoordelen waar de kwetsbaarheid zit.

Volgens Decker kunnen entiteiten Log4J in hun ondernemingen hebben en dit niet beseffen omdat het “moeilijk te ontdekken is met de huidige kwetsbaarheidsscanners”, zegt hij.

"Veel leveranciers staan ​​geen administratieve toegang tot hun apparaten toe. We moeten vertrouwen op hun kwetsbaarheidsopenbaarmakingsproces om te weten of de software kwetsbaar is of niet. Ga er niet vanuit dat u geen exemplaren ervan hebt, alleen omdat uw scan de kwetsbaarheid niet detecteert", zegt hij.

Frenz zegt dat hij “al lange tijd voorstander is van het feit dat zorginstellingen een software-onderdelenlijst eisen voor de applicaties en apparaten die ze aan boord hebben, en deze kwetsbaarheid illustreert duidelijk waarom dit cruciaal is.”

Volgens hem zou een Software Bill of Materials (SBOM) voor elke toepassing en elk apparaat het veel eenvoudiger maken om te identificeren waar deze kwetsbaarheid zich bevindt.

Vechten tegen 'FUD'

Zorginstellingen moeten beoordelen of ze zijn getroffen door de Log4j-kwetsbaarheid, maar moeten het probleem ook in het juiste perspectief plaatsen, zo dringen sommige experts aan. "Kortom: Log4j is alomtegenwoordig in IT-applicaties en het is geen specifieke bedreiging voor de gezondheid", zegt Denise Anderson, president van het Health Information Sharing and Analysis Center, in een verklaring aan Information Security Media Group.

"Zoals altijd is het nodig om veel van de 'ruis' en angst, onzekerheid, twijfel (FUD) over het hoofd te zien, zoals 800,000 'aanvallen' die minder over daadwerkelijke aanvallen/exploits gaan en meer over verschillende mensen, waaronder onderzoekers, die scannen op kwetsbare apparaten", zegt ze, verwijzend naar de rapporten van verschillende beveiligingsleveranciers deze week waarin ze beweren al honderdduizenden aanvalspogingen te hebben geblokkeerd die misbruik maken van de Log4j-fout.

"De basismitigatiestrategie is om zo snel mogelijk te upgraden naar versie 2.16.0 en op zijn minst naar 2.15.0, zo niet onmiddellijk, wanneer is bevestigd dat een apparaat in een omgeving kan worden geëxploiteerd", zegt ze. H-ISAC heeft ook een bulletin over de kwetsbaarheid van de gezondheidssector op 10 december.

In het advies van H-ISAC wordt opgemerkt dat sommige onderzoekers vermoeden dat sommige ransomware-actoren de kwetsbaarheid al zijn gaan misbruiken voor aanvallen. (Zie: Aanvallers van natiestaten die Log4j gebruiken).

Link om het volledige artikel hier te lezen https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

• Gerelateerde bronnen en nieuws
• Rapport over het bedreigingslandschap in de gezondheidszorg en sociale bijstand
• Agentische AI ​​in de gezondheidszorg is een riskante onderneming.
• Live@eXchange Dag 2 – Health-ISAC Medisch Apparaat Beveiligingsanalist
• Gezondheid-ISAC Hacking Healthcare 6-3-2026
• Nieuwe kwetsbaarheden gericht op de gezondheidszorgsector
• Maandelijkse nieuwsbrief – juni 2026
• Wat er werkelijk nodig is om de gezondheidszorg te beveiligen
• Apparaatinventarisatie en het in kaart brengen van patiëntgegevens zullen de grootste uitdagingen vormen wanneer de nieuwe HIPAA-wetgeving van kracht wordt.
• Verizon DBIR: Zorginstelling verdedigt zich tegen toegenomen social engineering-aanvallen
• Rapport over de stand van zaken rondom cyberrisico's voor de mens