Log4j Flaw: Binalaan ang Sektor ng Pangangalagang Pangkalusugan na Kumilos

Mga Eksperto: Hindi Sigurado ang Lawak ng Epekto, Ngunit Dapat Tasahin ng Mga Entidad, Bawasan ang Panganib

Marianne Kolbasuk McGee (HealthInfoSec🇧🇷 Disyembre 17, 2021

Ang mga organisasyon ng sektor ng pangangalagang pangkalusugan, tulad ng mga entidad sa iba pang mga industriya, ay binabalaan ng mga pederal na awtoridad at iba pa na maingat na tasahin kung paano ang kamakailang natukoy na malubhang kahinaan sa pagpapatupad ng remote code sa Apache Log4j Java Ang pag-log library ay maaaring makaapekto sa kanilang mga kapaligiran, at pagkatapos ay mabilis na matugunan ang isyu.

Ang Kagawaran ng Kalusugan at Serbisyong Pantao Sentro ng Koordinasyon ng Cybersecurity ng Sektor ng Kalusugan, o HC3, sa isang alertong inilabas noong Disyembre 10, pinayuhan ang mga organisasyon ng pangangalagang pangkalusugan at pampublikong kalusugan na suriin ang kanilang imprastraktura upang matiyak na hindi sila nagpapatakbo ng mga masusugatan na bersyon ng Log4j.

"Anumang masusugatan na mga sistema ay dapat na i-upgrade, at ang isang buong pagsisiyasat ng network ng enterprise ay dapat magsimula upang matukoy ang posibleng pagsasamantala kung ang isang masusugatan na bersyon ay matukoy," sabi ng advisory.

Ang eksaktong lawak kung saan naka-deploy ang Log4j sa buong sektor ng kalusugan ay hindi alam, sabi ng HC3. “Ito ay isang karaniwang aplikasyon, na ginagamit ng maraming negosyo at ulap mga application, kabilang ang ilang malalaki at kilalang vendor. Samakatuwid, malaki ang posibilidad na ang sektor ng kalusugan ay naapektuhan ng kahinaang ito, at posibleng sa malawakang lawak."

Inirerekomenda ng HC3 ang pagtrato sa kahinaan bilang isang mataas na priyoridad, sabi ng advisory.

Pinapanatili ng hindi pangkalakal na Apache Software Foundation, ang open-source na Log4j ay nagbibigay ng mga kakayahan sa pag-log para sa mga Java application at malawakang ginagamit, kabilang ang para sa Apache web server software.

Ang kapintasan ay naroroon sa Apache Log4j library, mga bersyon 2.0-beta9 hanggang 2.14.1, at ang US Cybersecurity and Infrastructure Security Agency sa isang alerto noong Disyembre 10, pinayuhan din ang mga organisasyon sa lahat ng sektor na dapat nilang lapitan ang pag-aayos nito nang may pinakamataas na priyoridad.

Sa Biyernes, ang Pagkain at Drug Administration naglabas ng alerto tungkol sa kapintasan ng Log4j, gayundin, na nakadirekta sa mga gumagawa ng medikal na device.

"Dapat tasahin ng mga tagagawa kung sila ay apektado ng kahinaan, suriin ang panganib, at bumuo ng mga aksyon sa remediation. Dahil malawakang ginagamit ang Apache Log4j sa software, application, at serbisyo, dapat ding suriin ng mga manufacturer ng medikal na device kung ang mga bahagi o serbisyo ng third-party na software na ginamit sa o kasama ng kanilang medikal na device ay maaaring gumamit ng apektadong software at sundin ang proseso sa itaas upang masuri ang epekto ng device. , "sabi ng FDA.

Ang mga tagagawa na maaaring maapektuhan ng kahinaan ng Log4j ay dapat makipag-ugnayan sa kanilang mga customer at makipag-ugnayan sa CISA, hinihimok ng FDA. "Dahil ito ay isang patuloy at patuloy na umuusbong na isyu, inirerekumenda din namin ang patuloy na pagbabantay at pagtugon upang matiyak na ang mga medikal na aparato ay naaangkop na ligtas."

Opisina ng HHS para sa Mga Karapatang Sibil, na nagpapatupad ng HIPAA, noong Martes ay naglabas din ng advisory batay sa alerto ng CISA.

'Malaking Isyu'

Ang kapintasan ng Log4j ay "isang napakalaking isyu sa kabuuan," sabi ni Benjamin Denkers, punong opisyal ng pagbabago sa privacy at pagkonsulta sa seguridad na CynergisTek.

"Ang bawat industriya ay gumugol noong nakaraang linggo sa pagsubok na kilalanin at ayusin. Ang kadalian ng pagsasamantala para sa kahinaang ito ay hindi nangangailangan ng mataas na antas ng pagiging sopistikado. Ang matagumpay na pagsasamantala ay nagbibigay-daan para sa malayuang pagpapatupad ng code, na nagbibigay sa mga umaatake ng isang foothold sa kapaligiran."

"Ito ay isang seryosong isyu at hindi maaaring maliitin kung gaano kabilis ang mga organisasyon na kailangang tumugon," sabi ni Erik Decker, CISO ng Utah-based na healthcare delivery system na Intermountain Healthcare at co-chair ng isang HHS cybersecurity advisory task force. “Pinapayagan nito ang isang masamang aktor na magsagawa ng malayuang code laban sa mga server, o mga downstream na server, na mahina sa internet. Ginagamit ng mga masasamang aktor ang mga kahinaan tulad nito bilang kanilang unang hakbang sa malalaking kompromiso." sabi niya.

Ang intensyon ay maaaring pagnanakaw ng data, ransomware, o pagnanakaw ng intelektwal na ari-arian, sabi niya. "Naiulat na ang Conti ransomware gang ay sinasamantala na ngayon ang kahinaang ito upang ilabas ang ransomware sa mga panloob na sistema."

Para sa mga entidad ng sektor ng pangangalagang pangkalusugan, ang Log4j ay magiging bahagi ng isang mas malaking pagpapatupad ng aplikasyon, sabi ni Denkers. "Hindi mo malalaman na naka-install ito, dahil maaaring isa ito sa daan-daang potensyal na pakete na ginagamit para tumakbo ang application na iyon."

Christopher Frenz, assistant vice president ng IT security ng Mount Sinai South Nassau hospital sa Oceanside, New York, ay nag-aalok ng katulad na pagtatasa.

"Dahil ang Log4j ay isang sikat na library ng software na ginagamit sa napakaraming application na nangangahulugan din na mayroong kasaganaan ng mga application na posibleng madaling pagsamantalahan," sabi niya.

"Ang malawakang paggamit na ito ay nangangahulugan na hindi lamang isang malaking potensyal na pag-atake, ngunit isang hamon para sa maraming mga organisasyon na mahanap ang lahat ng mga punto kung saan sila ay mahina."

Ang CISA ay nag-iipon Listahan ng mga mahihinang application na maaaring simulan ng mga organisasyon upang masuri kung saan sila maaaring magkaroon ng kahinaan, ngunit maraming mga vendor ng medikal na software at mga tagagawa ng medikal na aparato na may mga mahihinang application ay wala pa sa listahan, sabi ni Frenz.

Sinabi ni Decker na ang mga entidad ay maaaring magkaroon ng Log4J sa kanilang mga negosyo at hindi ito napagtanto dahil ito ay "mahirap matuklasan gamit ang kasalukuyang mga scanner ng kahinaan," sabi niya.

"Maraming mga vendor ang hindi pinapayagan ang administratibong pag-access sa kanilang mga appliances. Dapat tayong umasa sa kanilang proseso ng pagsisiwalat ng kahinaan upang malaman kung ang software ay mahina o hindi. Huwag ipagpalagay na dahil lang sa iyong pag-scan ay hindi nakakakita ng kahinaan na wala kang mga pagkakataon nito," sabi niya.

Sinabi ni Frenz na siya ay "isang mahabang panahon na tagapagtaguyod ng mga organisasyon ng pangangalagang pangkalusugan na humihiling ng isang software bill ng mga materyales para sa mga application at device na kanilang nasasakay, at ang kahinaang ito ay malinaw na naglalarawan kung bakit ito ay kritikal."

Ang Software Bill of Materials, o SBOM, para sa bawat application at device ay gagawing mas madali ang pagtukoy kung saan umiiral ang kahinaang ito, sabi niya.

Labanan ang 'FUD'

Dapat tasahin ng mga entity ng pangangalagang pangkalusugan kung naapektuhan sila ng kahinaan ng Log4j, ngunit dapat ding ilagay ang problema sa tamang pananaw, hinihimok ng ilang eksperto. "Bottom line: Ang Log4j ay nasa lahat ng dako sa mga IT application at hindi ito isang banta na partikular sa kalusugan," sabi ni Denise Anderson, presidente ng Health Information Sharing and Analysis Center, sa isang pahayag sa Information Security Media Group.

“Tulad ng nakasanayan, kailangang hindi pansinin ang maraming 'ingay' at Takot, Kawalang-katiyakan, Pag-aalinlangan – FUD – tulad ng 800,000 'pag-atake' na mas kaunti tungkol sa aktwal na pag-atake/pagsasamantala at higit pa tungkol sa iba't ibang tao, kabilang ang mga mananaliksik, pag-scan para sa mga vulnerable device,” sabi niya, na tumutukoy sa iba't ibang ulat ng mga security vendor ngayong linggo kung saan inaangkin nilang na-block na nila ang daan-daang libong mga pagtatangka sa pag-atake. sinasamantala ang kapintasan ng Log4j.

"Ang pangunahing diskarte sa pagpapagaan ay ang pag-upgrade sa bersyon 2.16.0 at hindi bababa sa 2.15.0 sa lalong madaling panahon - kung hindi kaagad - kapag ang ilang appliance sa isang kapaligiran ay nakumpirma na mapagsamantalahan," sabi niya. Naglabas din ang H-ISAC ng a pahayagan tungkol sa kahinaan sa sektor ng kalusugan noong Disyembre 10.

Ang advisory ng H-ISAC ay nagsasaad na ang ilang mga mananaliksik ay naghihinala na ang ilang mga aktor ng ransomware ay nagsimula na sa paggamit ng kahinaan para sa mga pag-atake. (Tingnan ang: Ang mga Nation-State Attackers ay gumagamit ng Log4j).

Link para basahin ang buong artikulo dito https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

• Mga Kaugnay na Mapagkukunan at Balita
• Ulat sa Banta ng Pangangalagang Pangkalusugan at Tulong Panlipunan
• Ang Agentic AI sa Pangangalagang Pangkalusugan ay Isang Mapanganib na Proposisyon
• Live@eXchange Ika-2 Araw – Health-ISAC Medical Device Security Analyst
• Health-ISAC Hacking Healthcare 6-3-2026
• Mga Bagong Kahinaan na Nakatuon sa Industriya ng Pangangalagang Pangkalusugan
• Buwanang Newsletter – Hunyo 2026
• Ang Talaga ngang Kinakailangan para Masiguro ang Pangangalagang Pangkalusugan
• Ang Imbentaryo ng Device at Pagmamapa ng PHI ang Magiging Pinakamabigat na Pagtaas Kapag Bumaba ang Bagong HIPAA
• Verizon DBIR: Nilalabanan ng Pangangalagang Pangkalusugan ang Tumaas na Pag-atake ng Social Engineering
• Ulat sa Kalagayan ng Panganib sa Cyber ​​ng Tao