ਮੁੱਖ ਸਮੱਗਰੀ ਤੇ ਜਾਓ

Log4j ਫਲਾਅ: ਹੈਲਥਕੇਅਰ ਸੈਕਟਰ ਨੂੰ ਕਾਰਵਾਈ ਕਰਨ ਦੀ ਚੇਤਾਵਨੀ ਦਿੱਤੀ ਗਈ ਹੈ

ਮਾਹਰ: ਪ੍ਰਭਾਵ ਦੀ ਹੱਦ ਅਨਿਸ਼ਚਿਤ ਹੈ, ਪਰ ਇਕਾਈਆਂ ਦਾ ਮੁਲਾਂਕਣ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਜੋਖਮ ਨੂੰ ਘਟਾਉਣਾ

ਮਾਰੀਅਨ ਕੋਲਬਾਸੁਕ ਮੈਕਗੀ (HealthInfoSec🇧🇷 ਦਸੰਬਰ 17, 2021

ਹੈਲਥਕੇਅਰ ਸੈਕਟਰ ਦੀਆਂ ਸੰਸਥਾਵਾਂ, ਜਿਵੇਂ ਕਿ ਹੋਰ ਉਦਯੋਗਾਂ ਦੀਆਂ ਸੰਸਥਾਵਾਂ, ਨੂੰ ਸੰਘੀ ਅਧਿਕਾਰੀਆਂ ਅਤੇ ਹੋਰਾਂ ਦੁਆਰਾ ਸਾਵਧਾਨੀ ਨਾਲ ਮੁਲਾਂਕਣ ਕਰਨ ਲਈ ਚੇਤਾਵਨੀ ਦਿੱਤੀ ਜਾ ਰਹੀ ਹੈ ਕਿ ਕਿਵੇਂ ਹਾਲ ਹੀ ਵਿੱਚ ਪਛਾਣ ਕੀਤੀ ਗਈ ਗੰਭੀਰ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਕਮਜ਼ੋਰੀ Apache Log4j Java ਲੌਗਿੰਗ ਲਾਇਬ੍ਰੇਰੀ ਉਹਨਾਂ ਦੇ ਵਾਤਾਵਰਣ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰ ਸਕਦੀ ਹੈ, ਅਤੇ ਫਿਰ ਇਸ ਮੁੱਦੇ ਨੂੰ ਤੇਜ਼ੀ ਨਾਲ ਹੱਲ ਕਰਨ ਲਈ।

ਸਿਹਤ ਅਤੇ ਮਨੁੱਖੀ ਸੇਵਾ ਵਿਭਾਗ ਦੇ ਸਿਹਤ ਖੇਤਰ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਤਾਲਮੇਲ ਕੇਂਦਰ, ਜਾਂ HC3, ਨੇ 10 ਦਸੰਬਰ ਨੂੰ ਜਾਰੀ ਕੀਤੀ ਚੇਤਾਵਨੀ ਵਿੱਚ ਸਿਹਤ ਸੰਭਾਲ ਅਤੇ ਜਨਤਕ ਸਿਹਤ ਸੰਸਥਾਵਾਂ ਨੂੰ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਆਪਣੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਸਰਵੇਖਣ ਕਰਨ ਦੀ ਸਲਾਹ ਦਿੱਤੀ ਹੈ ਕਿ ਉਹ Log4j ਦੇ ਕਮਜ਼ੋਰ ਸੰਸਕਰਣ ਨਹੀਂ ਚਲਾ ਰਹੇ ਹਨ।

"ਕਿਸੇ ਵੀ ਕਮਜ਼ੋਰ ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਅਪਗ੍ਰੇਡ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ, ਅਤੇ ਜੇ ਕਿਸੇ ਕਮਜ਼ੋਰ ਸੰਸਕਰਣ ਦੀ ਪਛਾਣ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਤਾਂ ਸੰਭਾਵੀ ਸ਼ੋਸ਼ਣ ਦੀ ਪਛਾਣ ਕਰਨ ਲਈ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਨੈਟਵਰਕ ਦੀ ਪੂਰੀ ਜਾਂਚ ਸ਼ੁਰੂ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ," ਸਲਾਹਕਾਰ ਕਹਿੰਦਾ ਹੈ।

HC4 ਦਾ ਕਹਿਣਾ ਹੈ ਕਿ ਪੂਰੇ ਸਿਹਤ ਖੇਤਰ ਵਿੱਚ Log3j ਨੂੰ ਕਿਸ ਹੱਦ ਤੱਕ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ, ਇਹ ਪਤਾ ਨਹੀਂ ਹੈ। "ਇਹ ਇੱਕ ਆਮ ਐਪਲੀਕੇਸ਼ਨ ਹੈ, ਜਿਸਦੀ ਵਰਤੋਂ ਬਹੁਤ ਸਾਰੇ ਉਦਯੋਗਾਂ ਦੁਆਰਾ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਅਤੇ ਬੱਦਲ ਐਪਲੀਕੇਸ਼ਨਾਂ, ਕਈ ਵੱਡੇ ਅਤੇ ਜਾਣੇ-ਪਛਾਣੇ ਵਿਕਰੇਤਾਵਾਂ ਸਮੇਤ। ਇਸ ਲਈ, ਇਹ ਬਹੁਤ ਸੰਭਾਵਨਾ ਹੈ ਕਿ ਸਿਹਤ ਖੇਤਰ ਇਸ ਕਮਜ਼ੋਰੀ ਦੁਆਰਾ ਪ੍ਰਭਾਵਿਤ ਹੋਇਆ ਹੈ, ਅਤੇ ਸੰਭਵ ਤੌਰ 'ਤੇ ਵੱਡੇ ਪੈਮਾਨੇ ਤੱਕ।"

ਐਡਵਾਈਜ਼ਰੀ ਕਹਿੰਦੀ ਹੈ ਕਿ HC3 ਕਮਜ਼ੋਰੀ ਨੂੰ ਉੱਚ ਤਰਜੀਹ ਦੇ ਤੌਰ 'ਤੇ ਵਰਤਣ ਦੀ ਸਿਫ਼ਾਰਸ਼ ਕਰਦਾ ਹੈ।

ਗੈਰ-ਲਾਭਕਾਰੀ ਅਪਾਚੇ ਸੌਫਟਵੇਅਰ ਫਾਊਂਡੇਸ਼ਨ ਦੁਆਰਾ ਸੰਭਾਲਿਆ ਗਿਆ, ਓਪਨ-ਸੋਰਸ Log4j Java ਐਪਲੀਕੇਸ਼ਨਾਂ ਲਈ ਲੌਗਿੰਗ ਸਮਰੱਥਾ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ ਅਤੇ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ Apache ਵੈੱਬ ਸਰਵਰ ਸੌਫਟਵੇਅਰ ਵੀ ਸ਼ਾਮਲ ਹੈ।

ਇਹ ਨੁਕਸ Apache Log4j ਲਾਇਬ੍ਰੇਰੀ, ਸੰਸਕਰਣ 2.0-beta9 ਤੋਂ 2.14.1 ਵਿੱਚ ਮੌਜੂਦ ਹੈ, ਅਤੇ ਯੂਐਸ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸੁਰੱਖਿਆ ਏਜੰਸੀ 10 ਦਸੰਬਰ ਦੀ ਚੇਤਾਵਨੀ ਵਿੱਚ ਸਾਰੇ ਸੈਕਟਰਾਂ ਦੀਆਂ ਸੰਸਥਾਵਾਂ ਨੂੰ ਇਹ ਵੀ ਸਲਾਹ ਦਿੱਤੀ ਗਈ ਹੈ ਕਿ ਉਨ੍ਹਾਂ ਨੂੰ ਇਸ ਨੂੰ ਉੱਚਤਮ ਤਰਜੀਹ ਨਾਲ ਠੀਕ ਕਰਨ ਲਈ ਪਹੁੰਚ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ।

ਸ਼ੁੱਕਰਵਾਰ ਨੂੰ, ਫੂਡ ਐਂਡ ਡਰੱਗ ਐਡਮਨਿਸਟਰੇਸ਼ਨ ਨੇ Log4j ਫਲਾਅ ਬਾਰੇ ਚੇਤਾਵਨੀ ਜਾਰੀ ਕੀਤੀ, ਨਾਲ ਹੀ, ਮੈਡੀਕਲ ਡਿਵਾਈਸ ਨਿਰਮਾਤਾਵਾਂ ਨੂੰ ਨਿਰਦੇਸ਼ਿਤ ਕੀਤਾ।

“ਨਿਰਮਾਤਾਵਾਂ ਨੂੰ ਇਹ ਮੁਲਾਂਕਣ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਕੀ ਉਹ ਕਮਜ਼ੋਰੀ ਦੁਆਰਾ ਪ੍ਰਭਾਵਿਤ ਹੋਏ ਹਨ, ਜੋਖਮ ਦਾ ਮੁਲਾਂਕਣ ਕਰੋ, ਅਤੇ ਉਪਚਾਰ ਦੀਆਂ ਕਾਰਵਾਈਆਂ ਵਿਕਸਿਤ ਕਰੋ। ਜਿਵੇਂ ਕਿ Apache Log4j ਦੀ ਵਰਤੋਂ ਸੌਫਟਵੇਅਰ, ਐਪਲੀਕੇਸ਼ਨਾਂ ਅਤੇ ਸੇਵਾਵਾਂ ਵਿੱਚ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਮੈਡੀਕਲ ਡਿਵਾਈਸ ਨਿਰਮਾਤਾਵਾਂ ਨੂੰ ਇਹ ਵੀ ਮੁਲਾਂਕਣ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਕੀ ਤੀਜੀ-ਧਿਰ ਦੇ ਸਾਫਟਵੇਅਰ ਹਿੱਸੇ ਜਾਂ ਸੇਵਾਵਾਂ ਉਹਨਾਂ ਦੇ ਮੈਡੀਕਲ ਡਿਵਾਈਸ ਵਿੱਚ ਜਾਂ ਉਹਨਾਂ ਦੇ ਨਾਲ ਵਰਤੇ ਗਏ ਪ੍ਰਭਾਵਿਤ ਸੌਫਟਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹਨ ਅਤੇ ਡਿਵਾਈਸ ਦੇ ਪ੍ਰਭਾਵ ਦਾ ਮੁਲਾਂਕਣ ਕਰਨ ਲਈ ਉਪਰੋਕਤ ਪ੍ਰਕਿਰਿਆ ਦੀ ਪਾਲਣਾ ਕਰ ਸਕਦੇ ਹਨ। "ਐਫ ਡੀ ਏ ਕਹਿੰਦਾ ਹੈ.

ਨਿਰਮਾਤਾ ਜੋ Log4j ਕਮਜ਼ੋਰੀ ਤੋਂ ਪ੍ਰਭਾਵਿਤ ਹੋ ਸਕਦੇ ਹਨ ਉਹਨਾਂ ਨੂੰ ਆਪਣੇ ਗਾਹਕਾਂ ਨਾਲ ਸੰਚਾਰ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਅਤੇ CISA ਨਾਲ ਤਾਲਮੇਲ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, FDA ਦੀ ਬੇਨਤੀ ਹੈ। "ਕਿਉਂਕਿ ਇਹ ਇੱਕ ਜਾਰੀ ਅਤੇ ਅਜੇ ਵੀ ਵਿਕਸਤ ਹੋ ਰਿਹਾ ਮੁੱਦਾ ਹੈ, ਅਸੀਂ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਲਗਾਤਾਰ ਚੌਕਸੀ ਅਤੇ ਜਵਾਬ ਦੀ ਸਿਫ਼ਾਰਿਸ਼ ਕਰਦੇ ਹਾਂ ਕਿ ਡਾਕਟਰੀ ਉਪਕਰਨਾਂ ਨੂੰ ਸਹੀ ਢੰਗ ਨਾਲ ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਗਿਆ ਹੈ।"

ਸਿਵਲ ਰਾਈਟਸ ਲਈ HHS ਦਾ ਦਫਤਰ, ਜੋ ਲਾਗੂ ਕਰਦਾ ਹੈ HIPAAਨੇ ਮੰਗਲਵਾਰ ਨੂੰ CISA ਦੇ ਅਲਰਟ 'ਤੇ ਆਧਾਰਿਤ ਐਡਵਾਈਜ਼ਰੀ ਵੀ ਜਾਰੀ ਕੀਤੀ।

'ਵੱਡਾ ਮੁੱਦਾ'

'ਤੇ ਚੀਫ ਇਨੋਵੇਸ਼ਨ ਅਫਸਰ, ਬੈਂਜਾਮਿਨ ਡੇਨਕਰਜ਼ ਕਹਿੰਦਾ ਹੈ ਕਿ Log4j ਫਲਾਅ "ਪੂਰੇ ਬੋਰਡ ਵਿੱਚ ਇੱਕ ਵਿਸ਼ਾਲ ਮੁੱਦਾ ਹੈ" ਪਰਦੇਦਾਰੀ ਅਤੇ ਸੁਰੱਖਿਆ ਸਲਾਹਕਾਰ CynergisTek.

“ਹਰ ਉਦਯੋਗ ਪਿਛਲੇ ਹਫ਼ਤੇ ਪਛਾਣਨ ਅਤੇ ਸੁਧਾਰ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰ ਰਿਹਾ ਹੈ। ਇਸ ਕਮਜ਼ੋਰੀ ਲਈ ਸ਼ੋਸ਼ਣ ਦੀ ਸੌਖ ਲਈ ਉੱਚ ਪੱਧਰੀ ਸੂਝ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ। ਸਫਲ ਸ਼ੋਸ਼ਣ ਰਿਮੋਟ ਕੋਡ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਜੋ ਹਮਲਾਵਰਾਂ ਨੂੰ ਵਾਤਾਵਰਣ ਵਿੱਚ ਪੈਰ ਪਕੜਦਾ ਹੈ।

"ਇਹ ਇੱਕ ਗੰਭੀਰ ਮੁੱਦਾ ਹੈ ਅਤੇ ਇਸ ਨੂੰ ਘੱਟ ਨਹੀਂ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਕਿ ਸੰਗਠਨਾਂ ਨੂੰ ਕਿੰਨੀ ਜਲਦੀ ਜਵਾਬ ਦੇਣ ਦੀ ਜ਼ਰੂਰਤ ਹੈ," ਏਰਿਕ ਡੇਕਰ, ਯੂਟਾਹ-ਅਧਾਰਤ ਹੈਲਥਕੇਅਰ ਡਿਲੀਵਰੀ ਸਿਸਟਮ ਇੰਟਰਮਾਊਨਟੇਨ ਹੈਲਥਕੇਅਰ ਦੇ ਸੀਆਈਐਸਓ ਅਤੇ ਇੱਕ HHS ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਸਲਾਹਕਾਰ ਟਾਸਕ ਫੋਰਸ ਦੇ ਕੋ-ਚੇਅਰ ਕਹਿੰਦਾ ਹੈ। “ਇਹ ਇੱਕ ਮਾੜੇ ਅਭਿਨੇਤਾ ਨੂੰ ਸਰਵਰਾਂ, ਜਾਂ ਡਾਊਨਸਟ੍ਰੀਮ ਸਰਵਰਾਂ ਦੇ ਵਿਰੁੱਧ ਰਿਮੋਟ ਕੋਡ ਨੂੰ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਜੋ ਇੰਟਰਨੈਟ ਤੇ ਕਮਜ਼ੋਰ ਹਨ। ਮਾੜੇ ਅਭਿਨੇਤਾ ਇਸ ਤਰ੍ਹਾਂ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਸਮਝੌਤਾ ਕਰਨ ਲਈ ਆਪਣੇ ਪਹਿਲੇ ਕਦਮ ਵਜੋਂ ਵਰਤਦੇ ਹਨ। ਉਹ ਕਹਿੰਦਾ ਹੈ।

ਇਰਾਦਾ ਡਾਟਾ ਚੋਰੀ ਹੋ ਸਕਦਾ ਹੈ, ransomware, ਜਾਂ ਬੌਧਿਕ ਜਾਇਦਾਦ ਦੀ ਚੋਰੀ, ਉਹ ਕਹਿੰਦਾ ਹੈ। "ਇਹ ਰਿਪੋਰਟ ਕੀਤੀ ਗਈ ਸੀ ਕਿ ਕੌਂਟੀ ਰੈਨਸਮਵੇਅਰ ਗੈਂਗ ਹੁਣ ਅੰਦਰੂਨੀ ਪ੍ਰਣਾਲੀਆਂ 'ਤੇ ਰੈਨਸਮਵੇਅਰ ਨੂੰ ਜਾਰੀ ਕਰਨ ਲਈ ਇਸ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰ ਰਿਹਾ ਹੈ."

ਹੈਲਥਕੇਅਰ ਸੈਕਟਰ ਦੀਆਂ ਸੰਸਥਾਵਾਂ ਲਈ, Log4j ਇੱਕ ਵੱਡੇ ਐਪਲੀਕੇਸ਼ਨ ਲਾਗੂ ਕਰਨ ਦਾ ਹਿੱਸਾ ਹੋਵੇਗਾ, ਡੇਨਕਰਸ ਦਾ ਕਹਿਣਾ ਹੈ। "ਤੁਹਾਨੂੰ ਇਹ ਜ਼ਰੂਰੀ ਨਹੀਂ ਪਤਾ ਹੋਵੇਗਾ ਕਿ ਇਹ ਸਥਾਪਿਤ ਕੀਤਾ ਗਿਆ ਸੀ, ਕਿਉਂਕਿ ਇਹ ਉਸ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਚਲਾਉਣ ਲਈ ਵਰਤੇ ਜਾ ਰਹੇ ਸੈਂਕੜੇ ਸੰਭਾਵੀ ਪੈਕੇਜਾਂ ਵਿੱਚੋਂ ਇੱਕ ਹੋ ਸਕਦਾ ਹੈ।"

ਕ੍ਰਿਸਟੋਫਰ ਫ੍ਰੇਂਜ਼, ਓਸ਼ਨਸਾਈਡ, ਨਿਊਯਾਰਕ ਵਿੱਚ ਮਾਊਂਟ ਸਿਨਾਈ ਸਾਊਥ ਨਸਾਓ ਹਸਪਤਾਲ ਦੇ ਆਈਟੀ ਸੁਰੱਖਿਆ ਦੇ ਸਹਾਇਕ ਉਪ ਪ੍ਰਧਾਨ, ਇੱਕ ਸਮਾਨ ਮੁਲਾਂਕਣ ਪੇਸ਼ ਕਰਦੇ ਹਨ।

"ਕਿਉਂਕਿ Log4j ਇੱਕ ਪ੍ਰਸਿੱਧ ਸੌਫਟਵੇਅਰ ਲਾਇਬ੍ਰੇਰੀ ਹੈ ਜੋ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਬਹੁਤਾਤ ਵਿੱਚ ਵਰਤੀ ਜਾਂਦੀ ਹੈ ਜਿਸਦਾ ਅਰਥ ਇਹ ਵੀ ਹੈ ਕਿ ਇੱਥੇ ਬਹੁਤ ਸਾਰੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਹਨ ਜੋ ਸ਼ੋਸ਼ਣ ਲਈ ਸੰਭਾਵਿਤ ਤੌਰ 'ਤੇ ਕਮਜ਼ੋਰ ਹਨ," ਉਹ ਕਹਿੰਦਾ ਹੈ।

"ਇਸ ਵਿਆਪਕ ਵਰਤੋਂ ਦਾ ਮਤਲਬ ਹੈ ਕਿ ਇੱਥੇ ਨਾ ਸਿਰਫ ਇੱਕ ਵੱਡੀ ਸੰਭਾਵੀ ਹਮਲੇ ਦੀ ਸਤਹ ਹੈ, ਬਲਕਿ ਬਹੁਤ ਸਾਰੀਆਂ ਸੰਸਥਾਵਾਂ ਲਈ ਉਹਨਾਂ ਸਾਰੇ ਬਿੰਦੂਆਂ ਦਾ ਪਤਾ ਲਗਾਉਣਾ ਵੀ ਇੱਕ ਚੁਣੌਤੀ ਹੈ ਜਿੱਥੇ ਉਹ ਕਮਜ਼ੋਰ ਹਨ."

CISA ਕੰਪਾਇਲ ਕਰ ਰਿਹਾ ਹੈ ਇੱਕ ਸੂਚੀ ਕਮਜ਼ੋਰ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਜੋ ਸੰਸਥਾਵਾਂ ਇਹ ਮੁਲਾਂਕਣ ਕਰਨ ਲਈ ਵਰਤਣਾ ਸ਼ੁਰੂ ਕਰ ਸਕਦੀਆਂ ਹਨ ਕਿ ਉਹਨਾਂ ਦੀ ਕਮਜ਼ੋਰੀ ਕਿੱਥੇ ਹੋ ਸਕਦੀ ਹੈ, ਪਰ ਬਹੁਤ ਸਾਰੇ ਮੈਡੀਕਲ ਸੌਫਟਵੇਅਰ ਵਿਕਰੇਤਾ ਅਤੇ ਕਮਜ਼ੋਰ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਾਲੇ ਮੈਡੀਕਲ ਡਿਵਾਈਸ ਨਿਰਮਾਤਾ ਅਜੇ ਸੂਚੀ ਵਿੱਚ ਨਹੀਂ ਹਨ, ਫ੍ਰੇਂਜ਼ ਕਹਿੰਦਾ ਹੈ।

ਲੋਗੋ CISA ਡਿਪਾਰਟਮੈਂਟ ਆਫ ਹੋਮਲੈਂਡ ਸਕਿਓਰਿਟੀ

ਡੇਕਰ ਦਾ ਕਹਿਣਾ ਹੈ ਕਿ ਸੰਸਥਾਵਾਂ ਦੇ ਆਪਣੇ ਉੱਦਮਾਂ ਵਿੱਚ Log4J ਹੋ ਸਕਦੇ ਹਨ ਅਤੇ ਇਸ ਨੂੰ ਮਹਿਸੂਸ ਨਹੀਂ ਕਰ ਸਕਦੇ ਕਿਉਂਕਿ "ਮੌਜੂਦਾ ਕਮਜ਼ੋਰ ਸਕੈਨਰਾਂ ਨਾਲ ਖੋਜਣਾ ਮੁਸ਼ਕਲ ਹੈ," ਉਹ ਕਹਿੰਦਾ ਹੈ।

“ਬਹੁਤ ਸਾਰੇ ਵਿਕਰੇਤਾ ਆਪਣੇ ਉਪਕਰਣਾਂ ਤੱਕ ਪ੍ਰਬੰਧਕੀ ਪਹੁੰਚ ਦੀ ਆਗਿਆ ਨਹੀਂ ਦਿੰਦੇ ਹਨ। ਸਾਨੂੰ ਇਹ ਜਾਣਨ ਲਈ ਉਹਨਾਂ ਦੀ ਕਮਜ਼ੋਰੀ ਪ੍ਰਗਟਾਵੇ ਦੀ ਪ੍ਰਕਿਰਿਆ 'ਤੇ ਭਰੋਸਾ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਕੀ ਸਾਫਟਵੇਅਰ ਕਮਜ਼ੋਰ ਹੈ ਜਾਂ ਨਹੀਂ। ਇਹ ਨਾ ਸੋਚੋ ਕਿ ਤੁਹਾਡੀ ਸਕੈਨਿੰਗ ਕਮਜ਼ੋਰੀ ਦਾ ਪਤਾ ਨਹੀਂ ਲਗਾਉਂਦੀ ਹੈ ਕਿ ਤੁਹਾਡੇ ਕੋਲ ਇਸਦਾ ਕੋਈ ਉਦਾਹਰਣ ਨਹੀਂ ਹੈ," ਉਹ ਕਹਿੰਦਾ ਹੈ।

ਫ੍ਰੈਂਜ਼ ਦਾ ਕਹਿਣਾ ਹੈ ਕਿ ਉਹ "ਸਿਹਤ ਸੰਭਾਲ ਸੰਸਥਾਵਾਂ ਦਾ ਲੰਬੇ ਸਮੇਂ ਤੋਂ ਸਮਰਥਕ ਰਿਹਾ ਹੈ ਜੋ ਐਪਲੀਕੇਸ਼ਨਾਂ ਅਤੇ ਡਿਵਾਈਸਾਂ ਲਈ ਸਮੱਗਰੀ ਦੇ ਇੱਕ ਸੌਫਟਵੇਅਰ ਬਿੱਲ ਦੀ ਬੇਨਤੀ ਕਰ ਰਿਹਾ ਹੈ, ਅਤੇ ਇਹ ਕਮਜ਼ੋਰੀ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਇਹ ਮਹੱਤਵਪੂਰਨ ਕਿਉਂ ਹੈ।"

ਉਹ ਕਹਿੰਦਾ ਹੈ ਕਿ ਹਰੇਕ ਐਪਲੀਕੇਸ਼ਨ ਅਤੇ ਡਿਵਾਈਸ ਲਈ ਸਮੱਗਰੀ ਦਾ ਇੱਕ ਸੌਫਟਵੇਅਰ ਬਿੱਲ, ਜਾਂ SBOM, ਇਹ ਪਛਾਣ ਕਰ ਸਕਦਾ ਹੈ ਕਿ ਇਹ ਕਮਜ਼ੋਰੀ ਕਿੱਥੇ ਮੌਜੂਦ ਸੀ, ਉਹ ਕਹਿੰਦਾ ਹੈ।

'FUD' ਨਾਲ ਲੜਨਾ

ਹੈਲਥਕੇਅਰ ਸੰਸਥਾਵਾਂ ਨੂੰ ਇਹ ਮੁਲਾਂਕਣ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਕੀ ਉਹ Log4j ਕਮਜ਼ੋਰੀ ਤੋਂ ਪ੍ਰਭਾਵਿਤ ਹੋਏ ਹਨ, ਪਰ ਸਮੱਸਿਆ ਨੂੰ ਸਹੀ ਪਰਿਪੇਖ ਵਿੱਚ ਵੀ ਰੱਖਣਾ ਚਾਹੀਦਾ ਹੈ, ਕੁਝ ਮਾਹਰ ਤਾਕੀਦ ਕਰਦੇ ਹਨ। "ਹੇਠਲੀ ਲਾਈਨ: Log4j ਆਈ.ਟੀ. ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਸਰਵ ਵਿਆਪਕ ਹੈ ਅਤੇ ਇਹ ਸਿਹਤ ਲਈ ਖਾਸ ਖ਼ਤਰਾ ਨਹੀਂ ਹੈ," ਸਿਹਤ ਸੂਚਨਾ ਸ਼ੇਅਰਿੰਗ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਕੇਂਦਰ ਦੇ ਪ੍ਰਧਾਨ, ਡੇਨਿਸ ਐਂਡਰਸਨ ਨੇ ਸੂਚਨਾ ਸੁਰੱਖਿਆ ਮੀਡੀਆ ਸਮੂਹ ਨੂੰ ਦਿੱਤੇ ਇੱਕ ਬਿਆਨ ਵਿੱਚ ਕਿਹਾ।

"ਹਮੇਸ਼ਾ ਵਾਂਗ, ਬਹੁਤ ਸਾਰੇ 'ਸ਼ੋਰ' ਅਤੇ ਡਰ, ਅਨਿਸ਼ਚਿਤਤਾ, ਸ਼ੱਕ - FUD - ਜਿਵੇਂ ਕਿ 800,000 'ਹਮਲੇ' ਅਸਲ ਹਮਲਿਆਂ/ਸ਼ੋਸ਼ਣਾਂ ਬਾਰੇ ਘੱਟ ਹੋਣ ਅਤੇ ਖੋਜਕਰਤਾਵਾਂ ਸਮੇਤ ਵੱਖ-ਵੱਖ ਲੋਕਾਂ ਬਾਰੇ ਵਧੇਰੇ, ਨੂੰ ਨਜ਼ਰਅੰਦਾਜ਼ ਕਰਨ ਦੀ ਜ਼ਰੂਰਤ ਹੈ, ਲਈ ਸਕੈਨਿੰਗ ਕਮਜ਼ੋਰ ਯੰਤਰ, ”ਉਹ ਇਸ ਹਫਤੇ ਵੱਖ-ਵੱਖ ਸੁਰੱਖਿਆ ਵਿਕਰੇਤਾਵਾਂ ਦੀਆਂ ਰਿਪੋਰਟਾਂ ਦਾ ਹਵਾਲਾ ਦਿੰਦੇ ਹੋਏ ਕਹਿੰਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਉਹ ਦਾਅਵਾ ਕਰਦੇ ਹਨ ਕਿ ਉਹ ਪਹਿਲਾਂ ਹੀ ਸੈਂਕੜੇ ਹਜ਼ਾਰਾਂ ਨੂੰ ਬਲੌਕ ਕਰ ਚੁੱਕੇ ਹਨ। Log4j ਫਲਾਅ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ।

"ਬੁਨਿਆਦੀ ਨਿਵਾਰਨ ਰਣਨੀਤੀ ਸੰਸਕਰਣ 2.16.0 ਅਤੇ ਘੱਟੋ ਘੱਟ 2.15.0 ਤੱਕ ਜਿੰਨੀ ਜਲਦੀ ਹੋ ਸਕੇ ਅੱਪਗ੍ਰੇਡ ਕਰਨਾ ਹੈ - ਜੇ ਤੁਰੰਤ ਨਹੀਂ - ਜਦੋਂ ਵਾਤਾਵਰਣ ਵਿੱਚ ਕੁਝ ਉਪਕਰਣਾਂ ਦੇ ਸ਼ੋਸ਼ਣਯੋਗ ਹੋਣ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ," ਉਹ ਕਹਿੰਦੀ ਹੈ। H-ISAC ਨੇ ਵੀ ਏ ਬੁਲੇਟਿਨ 10 ਦਸੰਬਰ ਨੂੰ ਸਿਹਤ ਖੇਤਰ ਦੀ ਕਮਜ਼ੋਰੀ ਬਾਰੇ।

H-ISAC ਸਲਾਹਕਾਰ ਨੋਟ ਕਰਦਾ ਹੈ ਕਿ ਕੁਝ ਖੋਜਕਰਤਾਵਾਂ ਨੂੰ ਸ਼ੱਕ ਹੈ ਕਿ ਕੁਝ ਰੈਨਸਮਵੇਅਰ ਅਦਾਕਾਰਾਂ ਨੇ ਹਮਲਿਆਂ ਲਈ ਕਮਜ਼ੋਰੀ ਦਾ ਲਾਭ ਲੈਣਾ ਸ਼ੁਰੂ ਕਰ ਦਿੱਤਾ ਹੈ। (ਦੇਖੋ: ਰਾਸ਼ਟਰ-ਰਾਜ ਦੇ ਹਮਲਾਵਰਾਂ ਨੂੰ ਲੌਗ4ਜੇ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ).

ਇੱਥੇ ਪੂਰਾ ਲੇਖ ਪੜ੍ਹਨ ਲਈ ਲਿੰਕ https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

ਮਾਸਿਕ ਨਿਊਜ਼ਲੈਟਰ - ਜਨਵਰੀ 2022
Apache Log4j ਨੋਟਿਸ