Ir para o conteúdo principal

Falha do Log4j: Setor de saúde é alertado para tomar medidas

Especialistas: A extensão do impacto é incerta, mas as entidades devem avaliar e mitigar o risco

Marianne Kolbasuk McGee (Segurança da Informação em Saúde) • 17 de dezembro de 2021

As organizações do setor de saúde, assim como entidades de outros setores, estão sendo alertadas pelas autoridades federais e outras para avaliar cuidadosamente como a vulnerabilidade grave de execução remota de código recentemente identificada no Apache Log4j Java a biblioteca de registro pode afetar seus ambientes e, então, resolver o problema rapidamente.

O Departamento de Saúde e Serviços Humanos Centro de Coordenação de Segurança Cibernética do Setor da Saúde, ou HC3, em um alerta emitido em 10 de dezembro, aconselhou organizações de saúde e saúde pública a avaliarem sua infraestrutura para garantir que não estejam executando versões vulneráveis ​​do Log4j.

“Todos os sistemas vulneráveis ​​devem ser atualizados, e uma investigação completa da rede corporativa deve começar para identificar possível exploração se uma versão vulnerável for identificada”, diz o aviso.

A extensão exata em que o Log4j é implantado em todo o setor de saúde é desconhecida, diz HC3. “É um aplicativo comum, utilizado por muitas empresas e Nuvem aplicativos, incluindo vários fornecedores grandes e conhecidos. Portanto, é altamente provável que o setor de saúde seja impactado por essa vulnerabilidade, e possivelmente em larga escala.”

O HC3 recomenda tratar a vulnerabilidade como alta prioridade, diz o comunicado.

Mantido pela organização sem fins lucrativos Apache Software Foundation, o Log4j de código aberto fornece recursos de registro para aplicativos Java e é amplamente utilizado, inclusive para software de servidor web Apache.

A falha está presente na biblioteca Apache Log4j, versões 2.0-beta9 a 2.14.1, e na Agência de Segurança Cibernética e Infraestrutura dos EUA em um alerta de 10 de dezembro, também aconselhou organizações de todos os setores que deveriam abordar a solução do problema com a mais alta prioridade.

Na sexta-feira, o Food and Drug Administration emitiu um alerta sobre a falha do Log4j também, direcionado aos fabricantes de dispositivos médicos.

“Os fabricantes devem avaliar se são afetados pela vulnerabilidade, avaliar o risco e desenvolver ações de remediação. Como o Apache Log4j é amplamente usado em softwares, aplicativos e serviços, os fabricantes de dispositivos médicos também devem avaliar se componentes de software ou serviços de terceiros usados ​​em ou com seus dispositivos médicos podem usar o software afetado e seguir o processo acima para avaliar o impacto do dispositivo”, diz o FDA.

Fabricantes que podem ser afetados pela vulnerabilidade Log4j devem se comunicar com seus clientes e coordenar com a CISA, a FDA recomenda. “Como esse é um problema contínuo e ainda em evolução, também recomendamos vigilância e resposta contínuas para garantir que os dispositivos médicos estejam adequadamente protegidos.”

O Gabinete de Direitos Civis do HHS, que aplica HIPAA, também emitiu um comunicado na terça-feira com base no alerta da CISA.

'Edição massiva'

A falha do Log4j é “um problema enorme em todos os níveis”, diz Benjamin Denkers, diretor de inovação da política de privacidade e consultoria de segurança CynergisTek.

“Todas as indústrias passaram a última semana tentando identificar e remediar. A facilidade de exploração dessa vulnerabilidade não requer um alto nível de sofisticação. A exploração bem-sucedida permite a execução remota de código, o que dá aos invasores uma posição no ambiente.”

“Este é um problema sério e não se pode menosprezar a rapidez com que as organizações precisam responder”, diz Erik Decker, CISO do sistema de prestação de serviços de saúde Intermountain Healthcare, sediado em Utah, e copresidente de uma força-tarefa de consultoria em segurança cibernética do HHS. “Ele permite que um agente mal-intencionado execute código remoto contra servidores, ou servidores downstream, que são vulneráveis ​​pela internet. Agentes mal-intencionados usam vulnerabilidades como essas como seu primeiro passo em comprometimentos em larga escala”, diz ele.

A intenção pode ser roubo de dados, ransomware, ou roubo de propriedade intelectual, ele diz. “Foi relatado que a gangue de ransomware Conti agora está explorando essa vulnerabilidade para liberar ransomware em sistemas internos.”

Para entidades do setor de saúde, o Log4j seria parte de uma implementação de aplicativo maior, diz Denkers. “Você não necessariamente saberia que ele foi instalado, pois poderia ser um de centenas de pacotes potenciais sendo utilizados para que o aplicativo seja executado.”

Christopher Frenz, vice-presidente assistente de segurança de TI do hospital Mount Sinai South Nassau, em Oceanside, Nova York, oferece uma avaliação semelhante.

“Como o Log4j é uma biblioteca de software popular usada em uma infinidade de aplicativos, isso também significa que há uma abundância de aplicativos que são potencialmente vulneráveis ​​a exploração”, diz ele.

“Esse uso generalizado significa que não há apenas uma grande superfície de ataque potencial, mas um desafio para muitas organizações até mesmo localizar todos os pontos nos quais são vulneráveis.”

A CISA está compilando uma lista de aplicativos vulneráveis ​​que as organizações podem começar a usar para avaliar onde podem ter a vulnerabilidade, mas muitos fornecedores de software médico e fabricantes de dispositivos médicos com aplicativos vulneráveis ​​ainda não estão na lista, diz Frenz.

Logotipo CISA Departamento de Segurança Interna

Decker diz que as entidades podem ter o Log4J em suas empresas e não perceber porque é "difícil de descobrir com os scanners de vulnerabilidade atuais", diz ele.

“Muitos fornecedores não permitem acesso administrativo aos seus appliances. Devemos confiar no processo de divulgação de vulnerabilidades deles para saber se o software é vulnerável ou não. Não presuma que só porque sua varredura não detecta a vulnerabilidade você não tem instâncias dela”, ele diz.

Frenz diz que ele é “um antigo defensor de organizações de saúde solicitando uma lista de materiais de software para aplicativos e dispositivos que eles integram, e essa vulnerabilidade ilustra claramente por que isso é crítico”.

Uma Lista de Materiais de Software, ou SBOM, para cada aplicativo e dispositivo tornaria muito mais fácil identificar onde essa vulnerabilidade existe, ele diz.

Lutando contra o "FUD"

Entidades de assistência médica devem avaliar se foram afetadas pela vulnerabilidade Log4j, mas também devem colocar o problema na perspectiva adequada, alguns especialistas insistem. “Conclusão: Log4j é onipresente em todos os aplicativos de TI e não é uma ameaça específica à saúde”, diz Denise Anderson, presidente do Health Information Sharing and Analysis Center, em uma declaração ao Information Security Media Group.

“Como sempre, é preciso ignorar muito do 'barulho' e do Medo, Incerteza, Dúvida – FUD – como 800,000 'ataques' sendo menos sobre ataques/explorações reais e mais sobre várias pessoas, incluindo pesquisadores, procurando dispositivos vulneráveis”, ela diz, referindo-se aos relatórios de vários fornecedores de segurança desta semana, nos quais eles afirmam já ter bloqueado centenas de milhares de tentativas de ataque explorando a falha do Log4j.

“A estratégia básica de mitigação é atualizar para a versão 2.16.0 e, no mínimo, para a 2.15.0 o mais rápido possível – se não imediatamente – quando algum dispositivo em um ambiente for confirmado como explorável”, ela diz. O H-ISAC também emitiu uma boletim sobre a vulnerabilidade do setor de saúde em 10 de dezembro.

O aviso do H-ISAC observa que alguns pesquisadores suspeitam que alguns agentes de ransomware já começaram a aproveitar a vulnerabilidade para ataques. (Veja: Atacantes do Estado-nação empunhando Log4j).

Link para ler o artigo completo aqui https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

Boletim Mensal – Janeiro 2022
Avisos do Apache Log4j