Preskoči na glavno vsebino

Napaka Log4j: zdravstveni sektor opozorjen na ukrepanje

Strokovnjaki: Obseg vpliva je negotov, vendar morajo subjekti oceniti in ublažiti tveganje

Marianne Kolbasuk McGee (HealthInfoSec🇧🇷 December 17, 2021

Zvezni organi in drugi opozarjajo organizacije zdravstvenega sektorja, tako kot subjekte v drugih panogah, naj skrbno ocenijo, kako nedavno ugotovljena resna ranljivost oddaljenega izvajanja kode v Apache Log4j Java knjižnica za beleženje lahko vpliva na njihova okolja in nato hitro odpravi težavo.

Ministrstvo za zdravje in socialne storitve Koordinacijski center za kibernetsko varnost zdravstvenega sektorja, ali HC3, je v opozorilu, izdanem 10. decembra, zdravstvenim in javnozdravstvenim organizacijam svetoval, naj pregledajo svojo infrastrukturo, da zagotovijo, da ne uporabljajo ranljivih različic Log4j.

"Vse ranljive sisteme je treba nadgraditi in začeti je treba popolno preiskavo omrežja podjetja, da se ugotovi morebitno izkoriščanje, če se odkrije ranljiva različica," piše v svetovanju.

Natančen obseg uporabe Log4j v zdravstvenem sektorju ni znan, pravi HC3. »To je običajna aplikacija, ki jo uporabljajo številna podjetja in oblak aplikacij, vključno z več velikimi in znanimi ponudniki. Zato je zelo verjetno, da ta ranljivost prizadene zdravstveni sektor, in to morda v velikem obsegu.«

HC3 priporoča, da ranljivost obravnavate kot prednostno nalogo, piše v svetovanju.

Odprtokodni Log4j, ki ga vzdržuje neprofitna fundacija Apache Software Foundation, ponuja zmožnosti beleženja za aplikacije Java in se pogosto uporablja, vključno s programsko opremo spletnega strežnika Apache.

Napaka je prisotna v knjižnici Apache Log4j, različice 2.0-beta9 do 2.14.1 in Agencija ZDA za kibernetsko varnost in varnost infrastrukture v opozorilu 10. decembra je tudi svetovalo organizacijam v vseh sektorjih, naj pristopijo k reševanju problema z največjo prednostjo.

V petek, Food and Drug Administration izdal tudi opozorilo o napaki Log4j, namenjeno proizvajalcem medicinskih pripomočkov.

»Proizvajalci bi morali oceniti, ali jih ranljivost prizadene, oceniti tveganje in razviti sanacijske ukrepe. Ker se Apache Log4j široko uporablja v programski opremi, aplikacijah in storitvah, bi morali proizvajalci medicinskih naprav oceniti tudi, ali lahko programske komponente ali storitve tretjih oseb, ki se uporabljajo v njihovih medicinskih napravah ali z njimi, uporabljajo prizadeto programsko opremo, in slediti zgornjemu postopku za oceno vpliva naprave. ,« pravi FDA.

Proizvajalci, ki jih lahko prizadene ranljivost Log4j, morajo komunicirati s svojimi strankami in se uskladiti s CISA, FDA poziva. "Ker je to stalna in še vedno nastajajoča težava, priporočamo tudi stalno pazljivost in odziv, da zagotovimo, da so medicinski pripomočki ustrezno zavarovani."

Urad HHS za državljanske pravice, ki uveljavlja HIPAA, je v torek izdal tudi nasvet na podlagi opozorila CISA.

'Masivna težava'

Napaka Log4j je "obsežna težava na vseh področjih," pravi Benjamin Denkers, glavni direktor za inovacije pri zasebnost in varnostno svetovanje CynergisTek.

»Vsaka industrija je zadnji teden porabila za odkrivanje in sanacijo. Enostavnost izkoriščanja te ranljivosti ne zahteva visoke stopnje sofisticiranosti. Uspešno izkoriščanje omogoča oddaljeno izvajanje kode, ki napadalcem omogoči vstop v okolje.«

»To je resna težava in ni je mogoče podcenjevati, kako hitro se morajo organizacije odzvati,« pravi Erik Decker, CISO sistema za zagotavljanje zdravstvenega varstva Intermountain Healthcare s sedežem v Utahu in sopredsednik svetovalne delovne skupine HHS za kibernetsko varnost. »Omogoča slabemu akterju, da izvede oddaljeno kodo proti strežnikom ali spodnjim strežnikom, ki so ranljivi prek interneta. Slabi akterji takšne ranljivosti uporabljajo kot prvi korak pri obsežnih kompromisih.« pravi.

Namen bi lahko bila kraja podatkov, izsiljevalska, ali kraja intelektualne lastnine, pravi. "Poročali so, da tolpa izsiljevalske programske opreme Conti zdaj izkorišča to ranljivost za sprostitev izsiljevalske programske opreme v notranjih sistemih."

Za subjekte v zdravstvenem sektorju bi bil Log4j del večje izvedbe aplikacij, pravi Denkers. "Ni nujno, da bi vedeli, da je bil nameščen, saj bi lahko bil eden od stotin možnih paketov, ki se uporabljajo za delovanje te aplikacije."

Christopher Frenz, pomočnik podpredsednika IT varnosti bolnišnice Mount Sinai South Nassau v Oceansideu v New Yorku, ponuja podobno oceno.

»Ker je Log4j priljubljena knjižnica programske opreme, ki se uporablja v množici aplikacij, to tudi pomeni, da obstaja obilo aplikacij, ki so potencialno ranljive za izkoriščanje,« pravi.

"Ta razširjena uporaba pomeni, da ni samo velika potencialna površina za napad, ampak tudi izziv za številne organizacije, da celo locirajo vse točke, na katerih so ranljive."

CISA sestavlja seznam ranljivih aplikacij, ki jih lahko organizacije začnejo uporabljati, da ocenijo, kje bi lahko imele ranljivost, vendar številni prodajalci medicinske programske opreme in proizvajalci medicinskih naprav z ranljivimi aplikacijami še niso na seznamu, pravi Frenz.

Logotip CISA Department of Homeland Security

Decker pravi, da imajo lahko subjekti Log4J v svojih podjetjih in se tega ne zavedajo, ker ga je "težko odkriti s trenutnimi pregledovalniki ranljivosti," pravi.

»Številni prodajalci ne dovoljujejo administrativnega dostopa do svojih naprav. Zanesti se moramo na njihov postopek razkrivanja ranljivosti, da vemo, ali je programska oprema ranljiva ali ne. Ne domnevajte samo zato, ker vaše skeniranje ne zazna ranljivosti, da nimate primerkov,« pravi.

Frenz pravi, da je bil "dolgoletni zagovornik zdravstvenih organizacij, ki zahtevajo seznam programske opreme za aplikacije in naprave, ki jih uporabljajo, in ta ranljivost jasno kaže, zakaj je to kritično."

S seznamom materialov programske opreme ali SBOM bi za vsako aplikacijo in napravo veliko lažje ugotovili, kje obstaja ta ranljivost, pravi.

Boj proti 'FUD'

Nekateri strokovnjaki pozivajo, da morajo zdravstveni subjekti oceniti, ali jih je prizadela ranljivost Log4j, vendar morajo problem tudi postaviti v pravo perspektivo. »Bistvo: Log4j je vseprisoten v aplikacijah IT in ni grožnja, značilna za zdravje,« pravi Denise Anderson, predsednica Centra za izmenjavo in analizo zdravstvenih informacij, v izjavi za informacijsko varnostno skupino.

»Kot vedno je treba spregledati veliko 'hrupa' in strahu, negotovosti, dvoma – FUD – kot je 800,000 'napadov', ki manj govorijo o dejanskih napadih/izkoriščanjih in več o različnih ljudeh, vključno z raziskovalci, ki iščejo ranljive naprave,« pravi in ​​se sklicuje na poročila različnih prodajalcev varnosti ta teden, v katerih trdijo, da so blokirali že na sto tisoče poskusov napadov. izkoriščanje napake Log4j.

»Osnovna strategija ublažitve je nadgradnja na različico 2.16.0 in vsaj na 2.15.0 čim prej – če ne takoj –, ko se potrdi, da je neka naprava v okolju primerna za izkoriščanje,« pravi. H-ISAC je izdal tudi a bilten o ranljivosti zdravstvenega sektorja 10. dec.

Nasvet H-ISAC ugotavlja, da nekateri raziskovalci sumijo, da so nekateri akterji izsiljevalske programske opreme že začeli izkoriščati ranljivost za napade. (Glej: Napadalci iz nacionalne države, ki uporabljajo Log4j).

Povezava za branje celotnega članka tukaj https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

  • Sorodni viri in novice
To spletno mesto je registrirano na Toolset.com kot razvojno mesto.