האָפּקען צו הויפּט צופרידן

Log4j פלאָ: העאַלטהקאַרע סעקטאָר געווארנט צו נעמען קאַמף

עקספּערץ: די מאָס פון ימפּאַקט ומזיכער, אָבער ענטיטיז מוזן אַססעסס, פאַרמינערן ריזיקירן

Marianne Kolbasuk McGee (HealthInfoSec🇧🇷 דעצעמבער קסנומקס, קסנומקס

כעלטקער סעקטאָר אָרגאַנאַזיישאַנז, ווי ענטיטיז אַריבער אנדערע ינדאַסטריז, זענען געווארנט דורך פעדעראלע אויטאריטעטן און אנדערע צו קערפאַלי אַססעסס ווי די לעצטנס יידענאַפייד שטרענג ווייַט קאָד דורכפירונג וואַלנעראַביליטי אין די אַפּאַטשי לאָג4דזש ז'אבא לאָגינג ביבליאָטעק קען ווירקן זייער ינווייראַנמאַנץ, און דעמאָלט צו געשווינד אַדרעס דעם אַרויסגעבן.

די דעפּאַרטמענט פון געזונט און מענטשנרעכט סערוויס געזונט סעקטאָר סייבערסעקוריטי קאָאָרדינאַטיאָן צענטער, אָדער HC3, אין אַ פלינק ארויס 10 דעצעמבער אַדווייזד כעלטקער און עפנטלעך געזונט אָרגאַנאַזיישאַנז צו יבערבליק זייער ינפראַסטראַקטשער צו ענשור אַז זיי לויפן נישט שפּירעוודיק ווערסיעס פון Log4j.

"קיין שפּירעוודיק סיסטעמען זאָל זיין אַפּגריידיד, און אַ פול ויספאָרשונג פון די פאַרנעמונג נעץ זאָל אָנהייבן צו ידענטיפיצירן מעגלעך עקספּלויטיישאַן אויב אַ שפּירעוודיק ווערסיע איז יידענאַפייד," די אַדווייזערי זאגט.

די פּינטלעך מאָס אין וואָס Log4j איז דיפּלויד איבער די געזונט סעקטאָר איז אומבאַקאַנט, HC3 זאגט. "עס איז אַ פּראָסט אַפּלאַקיישאַן, געניצט דורך פילע ענטערפּריסעס און וואָלקן אַפּלאַקיישאַנז, אַרייַנגערעכנט עטלעכע גרויס און באַוווסט ווענדאָרס. דעריבער, עס איז העכסט מסתּמא אַז די געזונט סעקטאָר איז ימפּאַקטיד דורך דעם וואַלנעראַביליטי, און עפשער אין אַ גרויס-וואָג מאָס.

HC3 רעקאַמענדז טרעאַטינג די וואַלנעראַביליטי ווי אַ הויך בילכערקייַט, די אַדווייזערי זאגט.

אָפֿן-מקור לאָג4דזש, אָפֿן-מקור, לאָגינג קייפּאַבילאַטיז פֿאַר ז'אבא אַפּלאַקיישאַנז און איז וויידלי געניצט, אַרייַנגערעכנט פֿאַר אַפּאַטשי וועב סערווער ווייכווארג.

דער פלאָ איז פאָרשטעלן אין די Apache Log4j ביבליאָטעק, ווערסיעס 2.0-beta9 צו 2.14.1, און די סייבערסעקוריטי און ינפראַסטראַקטשער זיכערהייט אַגענטור אין אַ 10 דעצעמבער פלינק אויך אַדווייזד אָרגאַניזאַציעס אַריבער אַלע סעקטאָרס אַז זיי זאָל צוגאַנג צו פאַרריכטן עס מיט די העכסטן בילכערקייַט.

אויף פרייטאג, די עסנוואַרג און דראַג אַדמיניסטראַטיאָן ארויס אַ פלינק וועגן די Log4j פלאָ, ווי געזונט, דירעקטעד צו מעדיציניש מיטל מייקערז.

"מאַניאַפאַקטשערערז זאָל אַססעסס צי זיי זענען אַפעקטאַד דורך די וואַלנעראַביליטי, אָפּשאַצן די ריזיקירן און אַנטוויקלען רימידייישאַן אַקשאַנז. ווי Apache Log4j איז ברייט גענוצט איבער ווייכווארג, אַפּלאַקיישאַנז און באַדינונגס, מאַניאַפאַקטשערערז פון מעדיציניש מיטל זאָל אויך אָפּשאַצן צי דריט-פּאַרטיי ווייכווארג קאַמפּאָונאַנץ אָדער סערוויסעס געניצט אין אָדער מיט זייער מעדיציניש מיטל קען נוצן די אַפעקטיד ווייכווארג און נאָכגיין די אויבן פּראָצעס צו אַססעסס די מיטל פּראַל ", די FDA זאגט.

מאַניאַפאַקטשערערז וואָס קען זיין אַפעקטאַד דורך די Log4j וואַלנעראַביליטי זאָל יבערגעבן מיט זייער קאַסטאַמערז און קאָואָרדאַנאַט מיט CISA, די FDA ערדזשיז. "ווי דאָס איז אַן אָנגאָינג און נאָך יוואַלווינג אַרויסגעבן, מיר אויך רעקאָמענדירן פארבליבן ווידזשאַלאַנס און ענטפער צו ענשור מעדיציניש דעוויסעס זענען אַפּראָופּרייטלי סיקיורד."

HHS 'אָפפיסע פֿאַר סיוויל רעכט, וואָס ענפאָרסיז היפּאַאַ, אויף דינסטאג אויך ארויס אַן אַדווייזערי באזירט אויף סיסאַ ס פלינק.

'מאַסיוו אַרויסגעבן'

די Log4j פלאָ איז "אַ מאַסיוו אַרויסגעבן איבער די ברעט," זאגט בנימין דענקערס, הויפּט כידעש אָפיציר אין אַליינקייַט און זיכערהייט קאַנסאַלטאַנסי CynergisTek.

"יעדער ינדאַסטרי האט ספּענדינג די לעצטע וואָך טריינג צו ידענטיפיצירן און רימידייט. די יז פון עקספּלויטיישאַן פֿאַר דעם וואַלנעראַביליטי טוט נישט דאַרפן אַ הויך מדרגה פון סאַפיסטאַקיישאַן. געראָטן עקספּלויטיישאַן אַלאַוז די דורכפירונג פון ווייַט קאָד, וואָס געבן אַטאַקערז אַ פוטכאָולד אין די סוויווע.

"דאָס איז אַ ערנסט אַרויסגעבן און עס קענען ניט זיין דאַונפּלייד ווי געשווינד אָרגאַנאַזיישאַנז דאַרפֿן צו ריספּאַנד," זאגט Erik Decker, CISO פון יוטאָ-באזירט כעלטקער עקספּרעס סיסטעם ינטערמאָונטאַין העאַלטהקאַרע און קאָ-טשער פון אַ HHS סייבערסעקוריטי אַדווייזערי אַרבעט קראַפט. "עס אַלאַוז אַ שלעכט אַקטיאָר צו ויספירן ווייַט קאָד קעגן סערווערס אָדער דאַונסטרים סערווערס וואָס זענען שפּירעוודיק איבער די אינטערנעט. שלעכט אַקטערז נוצן וואַלנעראַביליטיז ווי די ווי זייער ערשטער שריט אין גרויס-וואָג קאַמפּראַמייזיז. זאָגט ער.

די כוונה קען זיין דאַטן גנייווע, ראַנסאָמוואַרע, אָדער אינטעלעקטואַל פאַרמאָג גנייווע, ער זאגט. "עס איז געווען געמאלדן אַז די קאָנטי ראַנסאָמוואַרע באַנדע איז איצט עקספּלויטינג דעם וואַלנעראַביליטי צו באַפרייַען ראַנסאָמוואַרע אויף ינערלעך סיסטעמען."

פֿאַר כעלטקער סעקטאָר ענטיטיז, Log4j וואָלט זיין אַ טייל פון אַ גרעסערע אַפּלאַקיישאַן ימפּלאַמענטיישאַן, זאגט Denkers. "איר וואָלט ניט דאַווקע וויסן אַז עס איז אינסטאַלירן, ווייַל עס קען זיין איינער פון הונדערטער פון פּאָטענציעל פּאַקאַדזשאַז וואָס זענען געניצט פֿאַר די אַפּלאַקיישאַן צו לויפן."

Christopher Frenz, אַסיסטאַנט וויצע פּרעזידענט פון IT זיכערהייט פון בארג סיני דרום נאַסאו שפּיטאָל אין אָסעאַנסידע, ניו יארק, אָפפערס אַן ענלעך אַסעסמאַנט.

"ווייַל Log4j איז אַ פאָלקס ווייכווארג ביבליאָטעק געניצט אין אַ שעפע פון ​​אַפּלאַקיישאַנז, וואָס אויך מיטל אַז עס זענען אַ שעפע פון ​​אַפּלאַקיישאַנז וואָס זענען פּאַטענטשאַלי שפּירעוודיק צו גווורע," ער זאגט.

"די וויידספּרעד נוצן מיטל אַז עס איז נישט בלויז אַ גרויס פּאָטענציעל באַפאַלן ייבערפלאַך, אָבער אַ אַרויסרופן פֿאַר פילע אָרגאַנאַזיישאַנז אפילו צו געפֿינען אַלע די פונקטן אין וואָס זיי זענען שפּירעוודיק."

CISA איז קאַמפּיילינג אַ רשימה פון שפּירעוודיק אַפּלאַקיישאַנז וואָס אָרגאַנאַזיישאַנז קענען אָנהייבן צו נוצן צו אַססעסס ווו זיי קען האָבן די וואַלנעראַביליטי, אָבער פילע מעדיציניש ווייכווארג ווענדאָרס און מעדיציניש מיטל מאַניאַפאַקטשערערז מיט שפּירעוודיק אַפּלאַקיישאַנז זענען נישט נאָך אויף דער רשימה, פרענז זאגט.

לאָגאָ סיסאַ דעפּאַרטמענט פון האָמעלאַנד סעקוריטי

דעקער זאגט אַז ענטיטיז קען האָבן Log4J אין זייער ענטערפּריסעס און נישט פאַרשטיין עס ווייַל עס איז "שווער צו אַנטדעקן מיט די קראַנט וואַלנעראַביליטי סקאַנערז," ער זאגט.

"פילע ווענדאָרס טאָן ניט לאָזן אַדמיניסטראַטיווע אַקסעס צו זייער אַפּפּליאַנסעס. מיר מוזן פאַרלאָזנ אויף זייער וואַלנעראַביליטי אַנטפּלעקונג פּראָצעס צו וויסן אויב די ווייכווארג איז שפּירעוודיק אָדער נישט. דו זאלסט נישט יבערנעמען נאָר ווייַל דיין סקאַנינג קען נישט דעטעקט די וואַלנעראַביליטי אַז איר האָבן קיין קאַסעס פון עס, "ער זאגט.

פרענז זאגט אז ער איז געווען "אַ לאַנג-צייט פּראַפּאָונאַנט פון כעלטקער אָרגאַנאַזיישאַנז וואָס בעטן אַ ווייכווארג רעכענונג פון מאַטעריאַלס פֿאַר אַפּלאַקיישאַנז און דעוויסעס וואָס זיי אָנבאָרד, און די וואַלנעראַביליטי קלאר ילאַסטרייץ וואָס דאָס איז קריטיש."

א ווייכווארג ביל פון מאַטעריאַלס, אָדער SBOM, פֿאַר יעדער אַפּלאַקיישאַן און מיטל וואָלט מאַכן די ידענטיפיצירן ווו די וואַלנעראַביליטי איז געווען פיל גרינגער, ער זאגט.

פייטינג 'FUD'

כעלטקער ענטיטיז מוזן אַססעסס צי זיי זענען אַפעקטאַד דורך די Log4j וואַלנעראַביליטי, אָבער זאָל אויך שטעלן דעם פּראָבלעם אין אַ געהעריק פּערספּעקטיוו, עטלעכע עקספּערץ אָנטרייַבן. "די דנאָ שורה: Log4j איז ומעטומיק איבער IT אַפּלאַקיישאַנז און עס איז נישט אַ סאַקאָנע ספּעציפיש צו געזונט," זאגט דעניס אַנדערסאָן, פּרעזידענט פון די געזונט אינפֿאָרמאַציע ייַנטיילונג און אַנאַליסיס צענטער, אין אַ דערקלערונג צו אינפֿאָרמאַציע סעקוריטי מעדיע גרופע.

"ווי שטענדיק, עס איז אַ נויט צו יבערקוקן אַ פּלאַץ פון די 'ראַש' און מורא, אַנסערטאַנטי, צווייפל - FUD - אַזאַ ווי 800,000 'אַטאַקעס' זייַנען ווייניקער וועגן פאַקטיש אַטאַקס / עקספּלאָיץ און מער וועגן פאַרשידן מענטשן, אַרייַנגערעכנט ריסערטשערז, סקאַנינג פֿאַר שפּירעוודיק דיווייסאַז, "זי זאגט, ריפערינג צו פאַרשידן זיכערהייט ווענדאָרס ריפּאָרץ די וואָך אין וואָס זיי פאָדערן אַז זיי האָבן שוין אפגעשטעלט הונדערטער פון טויזנטער פון אַטאַק פרווון עקספּלויטינג די לאָג4דזש טעות.

"די יקערדיק מיטיגיישאַן סטראַטעגיע איז צו אַפּגרייד צו ווערסיע 2.16.0 און אין אַ מינימום צו 2.15.0 ווי באַלד ווי מעגלעך - אויב נישט גלייך - ווען עטלעכע אַפּפּליאַנסעס אין אַ סוויווע איז באשטעטיקט צו זיין עקספּלויטאַבאַל," זי זאגט. ח־יצח ק הא ט אוי ך ארויסגעגעב ן א בוללעטין וועגן די וואַלנעראַביליטי צו די געזונט סעקטאָר אויף 10 דעצעמבער.

די H-ISAC אַדווייזערי באמערקט אַז עטלעכע ריסערטשערז כאָשעד אַז עטלעכע ראַנסאָמוואַרע אַקטערז האָבן שוין אנגעהויבן לעווערידזשינג די וואַלנעראַביליטי פֿאַר אנפאלן. (זען: נאַציאָן-שטאַט אַטאַקערז וויידלינג Log4j).

לינק צו לייענען די פול אַרטיקל דאָ https://www.healthcareinfosecurity.com/log4j-flaw-healthcare-sector-warned-to-take-action-a-18149

כוידעשלעך נעווסלעטטער - יאנואר 2022
אַפּאַטשי לאָג4דזש נאָטיץ