Bỏ qua nội dung chính

Lỗ hổng Log4j: Ngành chăm sóc sức khỏe được cảnh báo phải hành động

Các chuyên gia: Mức độ tác động chưa chắc chắn, nhưng các thực thể phải đánh giá, giảm thiểu rủi ro

Marianne Kolbasuk McGee (Sức khỏeThông tinBảo mật🇧🇷 17 Tháng mười hai, 2021

Các tổ chức trong lĩnh vực chăm sóc sức khỏe, giống như các thực thể trong các ngành khác, đang được các cơ quan liên bang và các bên khác cảnh báo phải đánh giá cẩn thận cách thức lỗ hổng thực thi mã từ xa nghiêm trọng mới được xác định trong Apache Log4j Java thư viện ghi nhật ký có thể ảnh hưởng đến môi trường của họ và sau đó nhanh chóng giải quyết vấn đề.

Bộ Y tế và Dịch vụ Nhân sinh Trung tâm điều phối an ninh mạng ngành y tế, hay HC3, trong một cảnh báo được đưa ra vào ngày 10 tháng 4 đã khuyến cáo các tổ chức chăm sóc sức khỏe và y tế công cộng khảo sát cơ sở hạ tầng của họ để đảm bảo họ không chạy các phiên bản LogXNUMXj dễ bị tấn công.

Bản khuyến cáo cho biết: "Bất kỳ hệ thống dễ bị tấn công nào cũng cần được nâng cấp và cần tiến hành điều tra toàn diện mạng doanh nghiệp để xác định khả năng khai thác nếu phát hiện phiên bản dễ bị tấn công".

HC4 cho biết mức độ chính xác mà Log3j được triển khai trong toàn bộ ngành y tế vẫn chưa được biết. “Đây là một ứng dụng phổ biến, được nhiều doanh nghiệp và điện toán đám mây ứng dụng, bao gồm một số nhà cung cấp lớn và nổi tiếng. Do đó, rất có thể ngành y tế bị ảnh hưởng bởi lỗ hổng này và có thể ở mức độ lớn.”

Theo khuyến cáo, HC3 khuyến cáo nên coi lỗ hổng bảo mật này là ưu tiên hàng đầu.

Được bảo trì bởi tổ chức phi lợi nhuận Apache Software Foundation, Log4j mã nguồn mở cung cấp khả năng ghi nhật ký cho các ứng dụng Java và được sử dụng rộng rãi, bao gồm cả phần mềm máy chủ web Apache.

Lỗi này có trong thư viện Apache Log4j, phiên bản 2.0-beta9 đến 2.14.1 và Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ trong cảnh báo ngày 10 tháng XNUMX cũng khuyến cáo các tổ chức trên mọi lĩnh vực rằng họ nên ưu tiên khắc phục vấn đề này ở mức độ ưu tiên cao nhất.

Vào thứ Sáu, Thực phẩm và Cục Quản lý dược cũng đã ban hành cảnh báo về lỗ hổng Log4j, hướng tới các nhà sản xuất thiết bị y tế.

“Các nhà sản xuất nên đánh giá xem họ có bị ảnh hưởng bởi lỗ hổng bảo mật này không, đánh giá rủi ro và phát triển các hành động khắc phục. Vì Apache Log4j được sử dụng rộng rãi trên các phần mềm, ứng dụng và dịch vụ, nên các nhà sản xuất thiết bị y tế cũng nên đánh giá xem các thành phần hoặc dịch vụ phần mềm của bên thứ ba được sử dụng trong hoặc với thiết bị y tế của họ có thể sử dụng phần mềm bị ảnh hưởng hay không và làm theo quy trình trên để đánh giá tác động của thiết bị”, FDA cho biết.

FDA thúc giục các nhà sản xuất có thể bị ảnh hưởng bởi lỗ hổng Log4j nên trao đổi với khách hàng và phối hợp với CISA. “Vì đây là vấn đề đang diễn ra và vẫn đang phát triển, chúng tôi cũng khuyến nghị tiếp tục cảnh giác và phản ứng để đảm bảo các thiết bị y tế được bảo mật phù hợp”.

Văn phòng Dân quyền của HHS, nơi thực thi HIPAA, vào thứ Ba cũng đã ban hành một khuyến cáo dựa trên cảnh báo của CISA.

'Vấn đề lớn'

Benjamin Denkers, giám đốc đổi mới sáng tạo tại Log4j cho biết: "Lỗi LogXNUMXj là "một vấn đề lớn trên diện rộng". riêng tư và công ty tư vấn an ninh CynergisTek.

“Mọi ngành công nghiệp đều đã dành cả tuần qua để cố gắng xác định và khắc phục. Việc khai thác dễ dàng lỗ hổng này không đòi hỏi trình độ tinh vi cao. Khai thác thành công cho phép thực thi mã từ xa, giúp kẻ tấn công có chỗ đứng trong môi trường.”

“Đây là một vấn đề nghiêm trọng và không thể xem nhẹ tốc độ mà các tổ chức cần phải phản ứng”, Erik Decker, CISO của hệ thống cung cấp dịch vụ chăm sóc sức khỏe Intermountain Healthcare có trụ sở tại Utah và là đồng chủ tịch của lực lượng cố vấn an ninh mạng của HHS cho biết. “Nó cho phép kẻ xấu thực thi mã từ xa đối với các máy chủ hoặc máy chủ hạ lưu dễ bị tấn công qua internet. Kẻ xấu sử dụng các lỗ hổng như thế này làm bước đầu tiên trong các cuộc xâm phạm quy mô lớn”, ông nói.

Mục đích có thể là đánh cắp dữ liệu, ransomware, hoặc trộm cắp tài sản trí tuệ, ông nói. “Có báo cáo rằng băng đảng Conti ransomware hiện đang khai thác lỗ hổng này để phát tán ransomware vào các hệ thống nội bộ.”

Đối với các thực thể trong lĩnh vực chăm sóc sức khỏe, Log4j sẽ là một phần của việc triển khai ứng dụng lớn hơn, Denkers cho biết. "Bạn không nhất thiết phải biết nó đã được cài đặt, vì nó có thể là một trong hàng trăm gói tiềm năng đang được sử dụng để chạy ứng dụng đó".

Christopher Frenz, phó chủ tịch phụ trách an ninh CNTT của bệnh viện Mount Sinai South Nassau ở Oceanside, New York, đưa ra đánh giá tương tự.

Ông cho biết: “Vì Log4j là một thư viện phần mềm phổ biến được sử dụng trong vô số ứng dụng, điều đó cũng có nghĩa là có rất nhiều ứng dụng có khả năng dễ bị khai thác”.

“Việc sử dụng rộng rãi này không chỉ có nghĩa là có một bề mặt tấn công tiềm ẩn lớn mà còn là thách thức đối với nhiều tổ chức trong việc xác định tất cả các điểm dễ bị tấn công của họ.”

CISA đang biên soạn một danh sách trong số các ứng dụng dễ bị tấn công mà các tổ chức có thể bắt đầu sử dụng để đánh giá nơi có thể có lỗ hổng, nhưng nhiều nhà cung cấp phần mềm y tế và nhà sản xuất thiết bị y tế có các ứng dụng dễ bị tấn công vẫn chưa có trong danh sách, Frenz cho biết.

Logo CISA Bộ An ninh Nội địa

Decker cho biết các thực thể có thể có Log4J trong doanh nghiệp của họ nhưng không nhận ra vì "khó phát hiện bằng các trình quét lỗ hổng hiện tại", ông nói.

“Nhiều nhà cung cấp không cho phép truy cập quản trị vào các thiết bị của họ. Chúng ta phải dựa vào quy trình tiết lộ lỗ hổng của họ để biết phần mềm có dễ bị tấn công hay không. Đừng cho rằng chỉ vì quá trình quét của bạn không phát hiện ra lỗ hổng mà bạn không có trường hợp nào như vậy”, ông nói.

Frenz cho biết ông là “người ủng hộ lâu năm việc các tổ chức chăm sóc sức khỏe yêu cầu cung cấp danh mục vật tư phần mềm cho các ứng dụng và thiết bị mà họ đưa vào sử dụng, và lỗ hổng bảo mật này minh họa rõ ràng lý do tại sao điều này lại quan trọng”.

Ông cho biết, một Danh mục vật liệu phần mềm hay SBOM cho mọi ứng dụng và thiết bị sẽ giúp xác định lỗ hổng này tồn tại ở đâu dễ dàng hơn nhiều.

Chống lại 'FUD'

Các tổ chức chăm sóc sức khỏe phải đánh giá xem họ có bị ảnh hưởng bởi lỗ hổng Log4j hay không, nhưng cũng nên đưa vấn đề vào đúng góc nhìn, một số chuyên gia thúc giục. "Điểm mấu chốt: Log4j có mặt ở khắp các ứng dụng CNTT và nó không phải là mối đe dọa cụ thể đối với sức khỏe", Denise Anderson, chủ tịch của Trung tâm chia sẻ và phân tích thông tin y tế, cho biết trong một tuyên bố gửi tới Information Security Media Group.

“Như thường lệ, cần phải bỏ qua rất nhiều 'tiếng ồn' và Nỗi sợ hãi, Sự không chắc chắn, Sự nghi ngờ – FUD – chẳng hạn như 800,000 'cuộc tấn công' không phải là các cuộc tấn công/lợi dụng thực tế mà là về nhiều người khác nhau, bao gồm cả các nhà nghiên cứu, đang quét các thiết bị dễ bị tấn công”, bà nói, ám chỉ đến các báo cáo của nhiều nhà cung cấp bảo mật trong tuần này, trong đó họ tuyên bố đã chặn được hàng trăm nghìn nỗ lực tấn công khai thác lỗ hổng Log4j.

“Chiến lược giảm thiểu cơ bản là nâng cấp lên phiên bản 2.16.0 và ít nhất là lên 2.15.0 càng sớm càng tốt – nếu không phải ngay lập tức – khi một số thiết bị trong môi trường được xác nhận là có thể khai thác được”, bà nói. H-ISAC cũng đã ban hành thông tin về lỗ hổng của ngành y tế vào ngày 10 tháng XNUMX.

Bản tư vấn của H-ISAC lưu ý rằng một số nhà nghiên cứu nghi ngờ một số tác nhân ransomware đã bắt đầu lợi dụng lỗ hổng này để tấn công. (Xem: Những kẻ tấn công quốc gia sử dụng Log4j).

Liên kết để đọc toàn bộ bài viết tại đây https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

Bản tin hàng tháng – Tháng 2022 năm XNUMX
Thông báo Apache Log4j