Перейти до основного матеріалу

Недолік Log4j: Сектор охорони здоров’я попереджено про необхідність вжити заходів

Експерти: масштаби впливу невизначені, але суб’єкти господарювання повинні оцінити та зменшити ризик

Маріанна Колбасук МакГі (HealthInfoSec🇧🇷 17 Грудня, 2021

Організації галузі охорони здоров’я, як і організації в інших галузях, отримали попередження від федеральних органів влади та інших, щоб уважно оцінити, як нещодавно виявлена ​​серйозна вразливість віддаленого виконання коду в Apache Log4j Java бібліотека журналювання може вплинути на їхні середовища, а потім швидко вирішити проблему.

Департамент охорони здоров'я та соціальних служб Координаційний центр кібербезпеки сектору охорони здоров’я, або HC3, у попередженні, опублікованому 10 грудня, рекомендовано медичним установам і громадським організаціям охорони здоров’я перевірити свою інфраструктуру, щоб переконатися, що вони не використовують уразливі версії Log4j.

«Будь-які вразливі системи слід оновити, а також розпочати повне дослідження корпоративної мережі, щоб виявити можливе використання, якщо буде виявлено вразливу версію», — йдеться в повідомленні.

За словами HC4, невідомо, якою мірою Log3j розгорнуто в секторі охорони здоров’я. «Це поширена програма, яка використовується багатьма підприємствами та хмара програм, включаючи кілька великих і відомих постачальників. Таким чином, дуже ймовірно, що сектор охорони здоров’я постраждав від цієї вразливості, і, можливо, у великому масштабі».

HC3 рекомендує розглядати вразливість як високий пріоритет, йдеться в консультації.

Log4j із відкритим вихідним кодом, який підтримується некомерційною організацією Apache Software Foundation, надає можливості журналювання для програм Java і широко використовується, зокрема для програмного забезпечення веб-сервера Apache.

Порок присутній у бібліотеці Apache Log4j, версії 2.0-beta9 до 2.14.1, і Агентство з кібербезпеки та безпеки інфраструктури США у попередженні від 10 грудня також порадили організаціям у всіх секторах, що вони повинні підійти до вирішення проблеми з найвищим пріоритетом.

У п'ятницю в Управління з продовольства і медикаментів випустив попередження про недолік Log4j, спрямоване також на виробників медичного обладнання.

«Виробники повинні оцінити, чи зазнали вони впливу вразливості, оцінити ризик і розробити заходи щодо її усунення. Оскільки Apache Log4j широко використовується в програмному забезпеченні, програмах і службах, виробники медичних пристроїв також повинні оцінити, чи можуть програмні компоненти або служби сторонніх розробників, які використовуються в їх медичних пристроях або разом із ними, використовувати програмне забезпечення, що зазнає впливу, і слідувати вищезазначеному процесу для оцінки впливу пристрою. ", - повідомляє FDA.

Виробники, які можуть постраждати від уразливості Log4j, повинні спілкуватися зі своїми клієнтами та координувати дії з CISA, закликає FDA. «Оскільки це постійна проблема, яка все ще розвивається, ми також рекомендуємо продовжувати пильність і реагувати, щоб забезпечити належний захист медичних пристроїв».

Офіс громадянських прав HHS, який забезпечує дотримання HIPAA, у вівторок також випустив попередження на основі попередження CISA.

Масова проблема

Недолік Log4j є «великою проблемою з усіх боків», — каже Бенджамін Денкерс, директор з інновацій у недоторканність приватного життя і консалтингова компанія з безпеки CynergisTek.

«Кожна галузь витратила останній тиждень на виявлення та усунення. Простота використання цієї вразливості не вимагає високого рівня складності. Успішна експлуатація дозволяє дистанційно виконувати код, що дає зловмисникам доступ до середовища».

«Це серйозна проблема, і її не можна применшувати, наскільки швидко організації повинні реагувати», — каже Ерік Декер, керівник відділу інформаційних технологій системи надання медичних послуг Intermountain Healthcare, розташованої в штаті Юта, і співголова консультативної робочої групи HHS з кібербезпеки. «Це дозволяє зловмисникам виконувати віддалений код на серверах або нижчих серверах, які є вразливими через Інтернет. Погані актори використовують такі вразливості як перший крок до масштабних компромісів». каже він.

Наміром може бути крадіжка даних, вимагачів, або крадіжка інтелектуальної власності, каже він. «Повідомлялося, що група програм-вимагачів Conti зараз використовує цю вразливість для випуску програм-вимагачів у внутрішніх системах».

За словами Денкерса, для організацій галузі охорони здоров’я Log4j буде частиною більшої реалізації програми. «Ви не обов’язково знаєте, що його встановлено, оскільки це може бути один із сотень потенційних пакетів, які використовуються для запуску програми».

Крістофер Френц, помічник віце-президента з ІТ-безпеки лікарні Mount Sinai South Nassau в Оушенсайді, Нью-Йорк, пропонує подібну оцінку.

«Оскільки Log4j — це популярна бібліотека програмного забезпечення, яка використовується в безлічі програм, це також означає, що існує велика кількість програм, потенційно вразливих для використання», — говорить він.

«Таке широке використання означає, що існує не тільки велика потенційна поверхня для атаки, але й проблема для багатьох організацій навіть у тому, щоб знайти всі точки, в яких вони вразливі».

CISA збирається Лист уразливих програм, які організації можуть почати використовувати, щоб оцінити, де вони можуть мати вразливість, але багатьох постачальників медичного програмного забезпечення та виробників медичного обладнання з уразливими програмами ще немає в списку, говорить Френц.

Логотип Департаменту внутрішньої безпеки CISA

Декер каже, що організації можуть мати Log4J на своїх підприємствах і не помічати цього, оскільки його «важко виявити за допомогою поточних сканерів уразливостей».

«Багато постачальників не надають адміністративний доступ до своїх пристроїв. Ми повинні покладатися на їхній процес розкриття вразливостей, щоб знати, чи є програмне забезпечення вразливим чи ні. Не думайте, що у вас немає жодного екземпляра вразливості лише тому, що ваше сканування не виявило вразливості», — каже він.

Френц каже, що він «тривалий час прихильник того, щоб організації охорони здоров’я вимагали специфікацію програмного забезпечення для додатків і пристроїв, які вони використовують, і ця вразливість чітко ілюструє, чому це критично».

Спеціалісти програмного забезпечення, або SBOM, для кожного додатка та пристрою значно спростять виявлення цієї вразливості, каже він.

Бої "FUD"

За словами деяких експертів, заклади охорони здоров’я повинні оцінити, чи постраждали вони від уразливості Log4j, але також повинні поставити проблему в правильну перспективу. «Підсумок: Log4j всюдисущий у всіх ІТ-додатках і не є загрозою для здоров’я», — каже Деніз Андерсон, президент Центру обміну та аналізу інформації про здоров’я, у заяві для Information Security Media Group.

«Як завжди, необхідно не помічати багато «шуму» та страху, невпевненості, сумніву (FUD), наприклад, 800,000 4 «атак», які менше стосуються фактичних атак/експлойтів, а більше — різних людей, у тому числі дослідників, які шукають уразливих пристроїв», — каже вона, посилаючись на звіти різних постачальників безпеки цього тижня, в яких вони стверджують, що вже заблокували сотні тисяч спроб атак. використання недоліку LogXNUMXj.

«Основною стратегією пом’якшення є оновлення до версії 2.16.0 і як мінімум до 2.15.0 якнайшвидше — якщо не відразу — коли буде підтверджено, що якийсь пристрій у середовищі придатний для експлуатації», — каже вона. H-ISAC також видав a бюлетені про вразливість сфери охорони здоров’я 10 груд.

У консультації H-ISAC зазначається, що деякі дослідники підозрюють, що деякі учасники програм-вимагачів уже почали використовувати вразливість для атак. (Див.: Нападники на національну державу володіють Log4j).

Посилання для читання повної статті тут https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

Щомісячний інформаційний бюлетень – січень 2022 р
Повідомлення Apache Log4j