Мана Лог4ј: Здравствени сектор упозорен да предузме мере

Експерти: Неизвестан степен утицаја, али субјекти морају проценити, умањити ризик

Марианне Колбасук МцГее (ХеалтхИнфоСец🇧🇷 Декабрь 17, 2021

Организације у сектору здравствене заштите, попут ентитета у другим индустријама, упозоравају савезне власти и други да пажљиво процене како је недавно идентификована озбиљна рањивост даљинског извршавања кода у Апацхе Лог4ј Јава библиотека за евидентирање може да утиче на њихово окружење, а затим и да брзо реши проблем.

Министарство здравља и социјалне службе Координациони центар за сајбер-безбедност здравственог сектора, или ХЦ3, у упозорењу издатом 10. децембра саветује здравствене и јавне здравствене организације да испитају своју инфраструктуру како би се уверили да не користе рањиве верзије Лог4ј-а.

„Сваки рањиви системи би требало да буду надограђени, а потпуна истрага мреже предузећа би требало да почне да би се идентификовала могућа експлоатација ако се открије рањива верзија“, наводи се у савету.

Тачан степен у којем је Лог4ј распоређен у здравственом сектору је непознат, каже ХЦ3. „То је уобичајена апликација, коју користе многа предузећа и облак апликације, укључујући неколико великих и добро познатих добављача. Стога је велика вероватноћа да је здравствени сектор погођен овом рањивошћу, и то у великој мери.”

ХЦ3 препоручује да се рањивост третира као високи приоритет, каже се у савету.

Лог4ј отвореног кода, који одржава непрофитна Апацхе Софтваре Фоундатион, пружа могућности евидентирања за Јава апликације и широко се користи, укључујући и софтвер за Апацхе веб сервер.

Грешка је присутна у Апацхе Лог4ј библиотеци, верзије 2.0-бета9 до 2.14.1, и Америчка агенција за сајбер безбедност и безбедност инфраструктуре у упозорењу од 10. децембра такође је саветовано организацијама у свим секторима да треба да приступе решавању проблема са највишим приоритетом.

У петак, За храну и лекове издао упозорење о грешци Лог4ј, такође, упућено произвођачима медицинских уређаја.

„Произвођачи треба да процене да ли су погођени рањивости, процене ризик и развију мере санације. Како се Апацхе Лог4ј широко користи у софтверу, апликацијама и услугама, произвођачи медицинских уређаја би такође требало да процене да ли софтверске компоненте или услуге треће стране које се користе у или са њиховим медицинским уређајем могу да користе захваћени софтвер и да прате горњи процес да би проценили утицај уређаја “, каже ФДА.

Произвођачи на које може утицати рањивост Лог4ј треба да комуницирају са својим купцима и координирају са ЦИСА-ом, позива ФДА. „Пошто је ово проблем који је у току и који се још увек развија, такође препоручујемо континуирану будност и реаговање како бисмо осигурали да су медицински уређаји на одговарајући начин обезбеђени.

Канцеларија за грађанска права ХХС, која спроводи ХИПАА, у уторак је такође издао савет на основу упозорења ЦИСА-е.

'Огроман проблем'

Грешка Лог4ј-а је „огромна тема широм света“, каже Бењамин Денкерс, главни директор за иновације у приватност и консултант за безбедност ЦинергисТек.

„Свака индустрија је провела прошлу недељу покушавајући да идентификује и санира. Лакоћа експлоатације ове рањивости не захтева висок ниво софистицираности. Успешна експлоатација омогућава даљинско извршавање кода, што нападачима даје упориште у окружењу."

„Ово је озбиљан проблем и не може се умањити колико брзо организације треба да реагују“, каже Ерик Декер, ЦИСО система за пружање здравствене заштите Интермоунтаин Хеалтхцаре са седиштем у Јути и копредседавајући ХХС саветодавне радне групе за сајбер безбедност. „Омогућава лошем актеру да изврши даљински код против сервера или низводних сервера који су рањиви преко интернета. Лоши глумци користе овакве рањивости као свој први корак у компромисима великих размера." каже он.

Намера би могла бити крађа података, рансомваре, или крађу интелектуалне својине, каже он. „Пријављено је да Цонти рансомваре банда сада користи ову рањивост за пуштање рансомваре-а на интерне системе.

За субјекте у сектору здравствене заштите, Лог4ј би био део веће имплементације апликације, каже Денкерс. „Не бисте нужно знали да је инсталиран, јер би то могао бити један од стотина потенцијалних пакета који се користе за покретање те апликације.“

Цхристопхер Френз, помоћник потпредседника ИТ безбедности болнице Моунт Синаи Соутх Нассау у Оушансајду у Њујорку, нуди сличну процену.

„Зато што је Лог4ј популарна софтверска библиотека која се користи у мноштву апликација, што такође значи да постоји обиље апликација које су потенцијално рањиве на експлоатацију“, каже он.

„Ова распрострањена употреба значи да не постоји само велика потенцијална површина напада, већ и изазов за многе организације да чак лоцирају све тачке на којима су рањиве.

ЦИСА саставља листа рањивих апликација које организације могу да почну да користе да процене где би могле да имају рањивост, али многи продавци медицинског софтвера и произвођачи медицинских уређаја са рањивим апликацијама још увек нису на листи, каже Френц.

Декер каже да би ентитети могли да имају Лог4Ј у својим предузећима и да то не схвате јер је „тешко открити са тренутним скенерима рањивости“, каже он.

„Многи продавци не дозвољавају административни приступ својим уређајима. Морамо се ослонити на њихов процес откривања рањивости да бисмо знали да ли је софтвер рањив или не. Немојте претпостављати само зато што ваше скенирање не открива рањивост да немате инстанце исте“, каже он.

Френз каже да је он „дугогодишњи заговорник здравствених организација које траже софтверску листу материјала за апликације и уређаје које уграђују, а ова рањивост јасно илуструје зашто је то критично“.

Софтверски опис материјала, или СБОМ, за сваку апликацију и уређај би много олакшао идентификацију где ова рањивост постоји, каже он.

Борба против 'ФУД-а'

Здравствени субјекти морају да процене да ли су погођени рањивости Лог4ј, али такође треба да ставе проблем у праву перспективу, позивају неки стручњаци. „У крајњој линији: Лог4ј је свеприсутан у ИТ апликацијама и није претња специфична за здравље“, каже Дениз Андерсон, председница Центра за дељење и анализу здравствених информација, у изјави за Информатион Сецурити Медиа Гроуп.

„Као и увек, постоји потреба да се превиди много „буке“ и страха, неизвесности, сумње – ФУД – као што је 800,000 „напада“ мање о стварним нападима/експлоатацијама, а више о различитим људима, укључујући истраживаче, који траже рањиви уређаји“, каже она, позивајући се на извештаје разних произвођача безбедности ове недеље у којима тврде да су већ блокирали стотине хиљада напада покушава да искористи грешку Лог4ј.

„Основна стратегија ублажавања је надоградња на верзију 2.16.0 и најмање на 2.15.0 што је пре могуће – ако не одмах – када се потврди да је неки уређај у окружењу погодан за експлоатацију“, каже она. Х-ИСАЦ је такође издао а Билтен о угрожености здравственог сектора 10. дец.

Х-ИСАЦ саветодавни напомиње да неки истраживачи сумњају да су неки актери рансомваре-а већ почели да користе рањивост за нападе. (Види: Нападачи националне државе са Лог4ј).

Линк за читање целог чланка овде https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

• Повезани ресурси и вести
• Извештај о претњама у здравству и социјалној заштити
• Агентска вештачка интелигенција у здравству је ризичан предлог
• Live@eXchange, 2. дан – Health-ISAC аналитичар безбедности медицинских уређаја
• Хеалтх-ИСАЦ Хацкинг Хеалтхцаре 6
• Нове рањивости усмерене на здравствену индустрију
• Месечни билтен – јун 2026
• Шта је заиста потребно за обезбеђивање здравствене заштите
• Инвентар уређаја и мапирање заштићених здравствених информација (PHI) биће најтежи подизачи када се уведе нови HIPAA закон.
• Verizon DBIR: Здравствена заштита од повећаних напада друштвеног инжењеринга
• Извештај о стању људских сајбер ризика