Ana içeriğe atla

Log4j Kusuru: Sağlık Sektörü Harekete Geçmesi İçin Uyarıldı

Uzmanlar: Etkinin Kapsamı Belirsiz, Ancak Kurumlar Riski Değerlendirmeli ve Azaltmalı

Marianne Kolbasuk McGee (SağlıkBilgiGüvenliği) • 17 Aralık 2021

Sağlık sektörü kuruluşları, diğer sektörlerdeki kuruluşlar gibi, federal yetkililer ve diğerleri tarafından yakın zamanda tespit edilen ciddi uzaktan kod yürütme güvenlik açığını dikkatlice değerlendirmeleri konusunda uyarılıyor. Apache Log4j Java Günlükleme kütüphanesinin ortamlarını nasıl etkileyebileceğini anlamak ve sorunu hızla çözmek için.

Sağlık ve İnsan Hizmetleri Bakanlığı'nın Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi, veya HC3, 10 Aralık'ta yayınlanan bir uyarıda, sağlık ve kamu sağlığı kuruluşlarına, Log4j'nin güvenlik açığı bulunan sürümlerini çalıştırmadıklarından emin olmak için altyapılarını denetlemeleri tavsiyesinde bulundu.

"Herhangi bir güvenlik açığı bulunan sistem yükseltilmeli ve güvenlik açığı bulunan bir sürüm tespit edilirse olası istismarı belirlemek için kurumsal ağda kapsamlı bir araştırma başlatılmalıdır" denildi.

HC4, Log3j'in sağlık sektöründe tam olarak ne ölçüde konuşlandırıldığının bilinmediğini söylüyor. "Bu, birçok işletme ve bulut uygulamalar, birkaç büyük ve iyi bilinen satıcı da dahil olmak üzere. Bu nedenle, sağlık sektörünün bu güvenlik açığından etkilenmesi ve muhtemelen büyük ölçekte etkilenmesi oldukça olasıdır.”

HC3, güvenlik açığının yüksek öncelikli olarak ele alınmasını öneriyor.

Kâr amacı gütmeyen Apache Yazılım Vakfı tarafından sürdürülen açık kaynaklı Log4j, Java uygulamaları için günlük kaydı yetenekleri sağlar ve Apache web sunucusu yazılımı da dahil olmak üzere yaygın olarak kullanılır.

Bu kusur Apache Log4j kitaplığının 2.0-beta9 ile 2.14.1 sürümleri arasında mevcuttur ve ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı 10 Aralık'ta yapılan bir uyarıda, tüm sektörlerdeki kuruluşlara sorunu çözmeye en yüksek öncelikle yaklaşmaları gerektiği tavsiye edildi.

Cuma günü, Gıda ve İlaç İdaresi Ayrıca, tıbbi cihaz üreticilerine yönelik Log4j açığı hakkında bir uyarı yayınlandı.

FDA, "Üreticiler, güvenlik açığından etkilenip etkilenmediklerini değerlendirmeli, riski değerlendirmeli ve düzeltme eylemleri geliştirmelidir. Apache Log4j, yazılım, uygulama ve hizmetler genelinde yaygın olarak kullanıldığından, tıbbi cihaz üreticileri, tıbbi cihazlarında veya tıbbi cihazlarla birlikte kullanılan üçüncü taraf yazılım bileşenlerinin veya hizmetlerinin etkilenen yazılımı kullanıp kullanamayacağını da değerlendirmeli ve cihaz etkisini değerlendirmek için yukarıdaki süreci izlemelidir" diyor.

Log4j açığından etkilenebilecek üreticiler, müşterileriyle iletişim kurmalı ve CISA ile koordineli çalışmalıdır, diye uyarıyor FDA. "Bu devam eden ve hala gelişen bir sorun olduğundan, tıbbi cihazların uygun şekilde güvence altına alınmasını sağlamak için sürekli dikkat ve müdahale öneriyoruz."

HHS'nin Sivil Haklar Ofisi, HIPAASalı günü ayrıca CISA'nın uyarısı doğrultusunda bir tavsiye yayınladı.

'Büyük Sorun'

Log4j kusuru "genel olarak büyük bir sorun" diyor Benjamin Denkers, baş yenilik sorumlusu gizlilik ve güvenlik danışmanlığı CynergisTek.

"Her sektör son haftayı tanımlamaya ve düzeltmeye çalışarak geçirdi. Bu güvenlik açığının kolayca istismar edilebilmesi için yüksek düzeyde karmaşıklık gerekmiyor. Başarılı bir istismar, saldırganlara ortama bir dayanak noktası sağlayan uzaktan kod yürütülmesine olanak tanır."

"Bu ciddi bir sorun ve kuruluşların ne kadar hızlı yanıt vermesi gerektiği küçümsenemez," diyor Utah merkezli sağlık hizmeti dağıtım sistemi Intermountain Healthcare'in CISO'su ve HHS siber güvenlik danışma görev gücünün eş başkanı Erik Decker. "Kötü niyetli bir aktörün internet üzerinden savunmasız olan sunuculara veya alt akış sunucularına karşı uzaktan kod yürütmesine olanak tanır. Kötü niyetli aktörler bu tür güvenlik açıklarını büyük ölçekli ihlallerin ilk adımı olarak kullanırlar." diyor.

Amaç veri hırsızlığı olabilir, fidyeveya fikri mülkiyet hırsızlığı, diyor. "Conti fidye yazılımı çetesinin artık bu güvenlik açığını kullanarak dahili sistemlere fidye yazılımı yaydığı bildirildi."

Denkers, sağlık sektörü kuruluşları için Log4j'in daha büyük bir uygulama uygulamasının parçası olacağını söylüyor. "Uygulamanın çalışması için kullanılan yüzlerce potansiyel paketten biri olabileceğinden, kurulduğunu mutlaka bilmezsiniz."

New York, Oceanside'daki Mount Sinai South Nassau Hastanesi'nin BT güvenliğinden sorumlu başkan yardımcısı Christopher Frenz de benzer bir değerlendirmede bulunuyor.

"Log4j çok sayıda uygulamada kullanılan popüler bir yazılım kütüphanesi olduğundan, potansiyel olarak istismara açık çok sayıda uygulama da bulunmaktadır" diyor.

"Bu yaygın kullanım, yalnızca geniş bir potansiyel saldırı yüzeyi anlamına gelmiyor, aynı zamanda birçok organizasyon için savunmasız oldukları tüm noktaları tespit etme konusunda bile bir zorluk yaratıyor."

CISA derleniyor Bir liste Frenz, kuruluşların güvenlik açığının nerede olabileceğini değerlendirmek için kullanmaya başlayabilecekleri güvenlik açığı bulunan uygulamaların sayısının çok fazla olduğunu, ancak güvenlik açığı bulunan uygulamalara sahip birçok tıbbi yazılım satıcısı ve tıbbi cihaz üreticisinin henüz listede olmadığını söylüyor.

Logo CISA İç Güvenlik Bakanlığı

Decker, kuruluşların Log4J'e sahip olabileceğini ancak bunun farkında olmayabileceğini, çünkü "mevcut güvenlik açığı tarayıcılarıyla keşfedilmesinin zor" olduğunu söylüyor.

"Birçok satıcı cihazlarına yönetici erişimi sağlamaz. Yazılımın savunmasız olup olmadığını bilmek için güvenlik açığı ifşa sürecine güvenmek zorundayız. Taramanızın güvenlik açığını tespit etmemesi, bunun hiçbir örneğinin olmadığı anlamına gelmez" diyor.

Frenz, "Uzun zamandır sağlık kuruluşlarının, bünyelerine kattıkları uygulamalar ve cihazlar için bir yazılım malzeme listesi talep etmesinin savunucusuyum ve bu güvenlik açığının bunun neden kritik olduğunu açıkça ortaya koyduğunu" söylüyor.

Her uygulama ve cihaz için bir Yazılım Malzeme Listesi (SBOM) oluşturulmasının, bu güvenlik açığının nerede bulunduğunu tespit etmeyi çok daha kolaylaştıracağını söylüyor.

'FUD' ile mücadele

Bazı uzmanlar, sağlık kuruluşlarının Log4j güvenlik açığından etkilenip etkilenmediklerini değerlendirmeleri gerektiğini, ancak sorunu doğru perspektife oturtmaları gerektiğini söylüyor. Health Information Sharing and Analysis Center başkanı Denise Anderson, Information Security Media Group'a yaptığı açıklamada, "Özetle: Log4j, BT uygulamalarının her yerinde mevcuttur ve sağlığa özgü bir tehdit değildir" diyor.

"Her zaman olduğu gibi, 800,000 'saldırının' gerçek saldırılar/istismarlardan ziyade araştırmacılar da dahil olmak üzere çeşitli kişilerin savunmasız cihazları taramasıyla ilgili olması gibi çok sayıda 'gürültü' ve Korku, Belirsizlik, Şüphe - FUD - görmezden gelinmesi gerekiyor," diyor ve bu hafta çeşitli güvenlik sağlayıcılarının Log4j kusurundan yararlanan yüz binlerce saldırı girişimini engellediklerini iddia ettikleri raporlarına atıfta bulunuyor.

"Temel azaltma stratejisi, bir ortamda bulunan bir cihazın istismar edilebilir olduğu doğrulandığında mümkün olan en kısa sürede - hemen değilse bile - 2.16.0 sürümüne ve en azından 2.15.0 sürümüne yükseltmektir" diyor. H-ISAC ayrıca bir bülten 10 Aralık'ta sağlık sektörünün kırılganlığı hakkında.

H-ISAC duyurusunda, bazı araştırmacıların bazı fidye yazılımı aktörlerinin saldırılar için bu güvenlik açığından yararlanmaya başladıklarından şüphelendiği belirtiliyor. (Bkz: Log4j'yi Kullanan Ulus-Devlet Saldırganları).

Makalenin tamamını okumak için bağlantı burada https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

Aylık Haber Bülteni – Ocak 2022
Apache Log4j Bildirimleri