Defect Log4j: Sectorul medical avertizat să ia măsuri

Experți: Amploarea impactului este incertă, dar entitățile trebuie să evalueze, să reducă riscul

Marianne Kolbasuk McGee (HealthInfoSec🇧🇷 December 17, 2021

Organizațiile din sectorul sănătății, precum entitățile din alte industrii, sunt avertizate de autoritățile federale și de alții să evalueze cu atenție modul în care vulnerabilitatea severă de execuție a codului de la distanță identificată recent în Apache Log4j Java biblioteca de jurnalizare ar putea afecta mediile lor și apoi să rezolve rapid problema.

Departamentul de Sănătate și Servicii Umane Centrul de coordonare a securității cibernetice în sectorul sănătății, sau HC3, într-o alertă emisă pe 10 decembrie, a sfătuit organizațiilor de sănătate și de sănătate publică să-și cerceteze infrastructura pentru a se asigura că nu rulează versiuni vulnerabile ale Log4j.

„Orice sisteme vulnerabile ar trebui să fie actualizate și o investigație completă a rețelei întreprinderii ar trebui să înceapă pentru a identifica posibila exploatare dacă este identificată o versiune vulnerabilă”, se spune în avizul.

Măsura exactă în care Log4j este implementat în sectorul sănătății nu este cunoscută, spune HC3. „Este o aplicație comună, utilizată de multe întreprinderi și nor aplicații, inclusiv câțiva furnizori mari și cunoscuți. Prin urmare, este foarte probabil ca sectorul sănătății să fie afectat de această vulnerabilitate și, posibil, la scară largă.”

HC3 recomandă tratarea vulnerabilității ca o prioritate ridicată, se arată în avizul.

Menținută de organizația nonprofit Apache Software Foundation, Log4j open-source oferă capacități de înregistrare pentru aplicații Java și este utilizat pe scară largă, inclusiv pentru software-ul de server web Apache.

Defectul este prezent în biblioteca Apache Log4j, versiunile 2.0-beta9 până la 2.14.1 și Agenția SUA pentru Securitate Cibernetică și Securitate a Infrastructurii într-o alertă din 10 decembrie, a sfătuit, de asemenea, organizațiile din toate sectoarele că ar trebui să abordeze remedierea acesteia cu cea mai mare prioritate.

Vineri, Food and Drug Administration a emis o alertă despre defectul Log4j, de asemenea, adresată producătorilor de dispozitive medicale.

„Producătorii ar trebui să evalueze dacă sunt afectați de vulnerabilitate, să evalueze riscul și să dezvolte acțiuni de remediere. Deoarece Apache Log4j este utilizat pe scară largă în software, aplicații și servicii, producătorii de dispozitive medicale ar trebui, de asemenea, să evalueze dacă componentele software terțe sau serviciile utilizate în sau cu dispozitivul lor medical pot folosi software-ul afectat și să urmeze procesul de mai sus pentru a evalua impactul dispozitivului. ”, spune FDA.

Producătorii care ar putea fi afectați de vulnerabilitatea Log4j ar trebui să comunice cu clienții lor și să se coordoneze cu CISA, îndeamnă FDA. „Deoarece aceasta este o problemă în curs de desfășurare și încă în evoluție, recomandăm, de asemenea, vigilență și răspuns continuă pentru a ne asigura că dispozitivele medicale sunt securizate corespunzător.”

Biroul HHS pentru Drepturi Civile, care aplică HIPAA, a emis marți și un aviz în baza alertei CISA.

„Problemă masivă”

Defectul Log4j este „o problemă masivă în general”, spune Benjamin Denkers, director de inovare la intimitate și consultanță de securitate CynergisTek.

„Fiecare industrie a petrecut ultima săptămână încercând să identifice și să remedieze. Ușurința de exploatare a acestei vulnerabilități nu necesită un nivel ridicat de sofisticare. Exploatarea cu succes permite executarea codului de la distanță, ceea ce oferă atacatorilor un punct de sprijin în mediu.”

„Aceasta este o problemă serioasă și nu poate fi minimizată cât de repede trebuie să răspundă organizațiile”, spune Erik Decker, CISO al sistemului de furnizare de asistență medicală din Utah, Intermountain Healthcare și co-președinte al unui grup de lucru consultativ HHS în domeniul securității cibernetice. „Permite unui actor rău să execute cod la distanță împotriva serverelor sau serverelor din aval, care sunt vulnerabile pe internet. Actorii răi folosesc vulnerabilități ca acestea ca primul pas în compromisuri pe scară largă.” spune el.

Intenția ar putea fi furtul de date, Ransomware, sau furtul de proprietate intelectuală, spune el. „S-a raportat că banda de ransomware Conti exploatează acum această vulnerabilitate pentru a lansa ransomware pe sistemele interne.”

Pentru entitățile din sectorul sănătății, Log4j ar face parte dintr-o implementare mai mare a aplicației, spune Denkers. „Nu ați ști neapărat că a fost instalat, deoarece ar putea fi unul dintre sutele de pachete potențiale utilizate pentru ca acea aplicație să ruleze.”

Christopher Frenz, vicepreședinte asistent pentru securitate IT al spitalului Mount Sinai South Nassau din Oceanside, New York, oferă o evaluare similară.

„Deoarece Log4j este o bibliotecă de software populară folosită într-o multitudine de aplicații, ceea ce înseamnă, de asemenea, că există o abundență de aplicații care sunt potențial vulnerabile la exploatare”, spune el.

„Această utilizare pe scară largă înseamnă că nu există doar o suprafață potențială mare de atac, ci și o provocare pentru multe organizații de a localiza chiar și toate punctele în care sunt vulnerabile.”

CISA elaborează o listă de aplicații vulnerabile pe care organizațiile pot începe să le folosească pentru a evalua unde ar putea avea vulnerabilitatea, dar mulți furnizori de software medical și producători de dispozitive medicale cu aplicații vulnerabile nu sunt încă pe listă, spune Frenz.

Decker spune că entitățile ar putea avea Log4J în întreprinderile lor și să nu-și dea seama, deoarece este „dificil de descoperit cu scanerele de vulnerabilitate actuale”, spune el.

„Mulți furnizori nu permit accesul administrativ la aparatele lor. Trebuie să ne bazăm pe procesul lor de dezvăluire a vulnerabilităților pentru a ști dacă software-ul este vulnerabil sau nu. Nu presupuneți doar pentru că scanarea dvs. nu detectează vulnerabilitatea că nu aveți cazuri ale acesteia”, spune el.

Frenz spune că a fost „un susținător de multă vreme al organizațiilor de asistență medicală care solicită o listă de materiale software pentru aplicațiile și dispozitivele pe care le includ, iar această vulnerabilitate ilustrează clar de ce acest lucru este critic”.

O listă de materiale software, sau SBOM, pentru fiecare aplicație și dispozitiv ar face identificarea unde a existat această vulnerabilitate mult mai ușoară, spune el.

Lupta cu „FUD”

Entitățile din domeniul sănătății trebuie să evalueze dacă au fost afectate de vulnerabilitatea Log4j, dar ar trebui, de asemenea, să pună problema într-o perspectivă adecvată, îndeamnă unii experți. „Concluzia: Log4j este omniprezent în aplicațiile IT și nu este o amenințare specifică sănătății”, spune Denise Anderson, președintele Centrului de Analiză și Partajare a Informațiilor de Sănătate, într-o declarație pentru Information Security Media Group.

„Ca întotdeauna, este nevoie să trecem cu vederea o mulțime de „zgomot” și frică, incertitudine, îndoială – FUD – cum ar fi 800,000 de „atacuri” fiind mai puțin despre atacuri/exploatări reale și mai mult despre diferite persoane, inclusiv cercetători, care scanează pentru dispozitive vulnerabile”, spune ea, referindu-se la rapoartele diverșilor furnizori de securitate din această săptămână, în care aceștia susțin că au blocat deja sute de mii de încercări de atac care exploatează Defect Log4j.

„Strategia de bază de atenuare este să faceți upgrade la versiunea 2.16.0 și cel puțin la 2.15.0 cât mai curând posibil – dacă nu imediat – când se confirmă că un dispozitiv dintr-un mediu poate fi exploatat”, spune ea. H-ISAC a emis de asemenea a buletin despre vulnerabilitatea în sectorul sănătății pe 10 decembrie.

Avizul H-ISAC notează că unii cercetători bănuiesc că unii actori de ransomware au început deja să folosească vulnerabilitatea pentru atacuri. (Vedea: Atacatorii națiuni-state care mânuiesc Log4j).

Link pentru a citi articolul integral aici https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

• Resurse și știri conexe
• Raportul privind peisajul amenințărilor privind asistența medicală și socială
• IA agențică în domeniul sănătății este o propunere riscantă
• Live@eXchange Ziua 2 – Analist de securitate a dispozitivelor medicale Health-ISAC
• Health-ISAC Hacking Healthcare 6-3-2026
• Noi vulnerabilități care vizează industria medicală
• Buletin informativ lunar – iunie 2026
• Ce este nevoie cu adevărat pentru a securiza asistența medicală
• Inventarul dispozitivelor și cartografierea PHI vor fi cele mai dificile sarcini odată cu intrarea în vigoare a noii HIPAA
• Verizon DBIR: Secția de asistență medicală respinge atacurile de inginerie socială tot mai numeroase
• Raportul privind starea riscului cibernetic uman