En avril, CISA a conseillé aux organisations de continuer à identifier et à corriger les instances Log4j vulnérables dans leurs environnements et à planifier une gestion des vulnérabilités à long terme. En juin, la CISA a publié un avis conjoint pour avertir les défenseurs du réseau que les acteurs de la menace ont continué à exploiter Log4Shell dans les serveurs VMware Horizon et Unified Access Gateway pour obtenir un accès initial aux organisations qui n’ont pas appliqué les correctifs ou les solutions de contournement disponibles.
Les cybercriminels recherchent continuellement de nouvelles solutions de contournement à mesure que des correctifs sont publiés, ce qui signifie que les vulnérabilités Log4j évoluent, déclare Doug McKee, ingénieur principal et directeur de la recherche sur les vulnérabilités chez Trellix. Sur le Common Vulnerability Scoring System (CVSS), il est classé 10, le classement le plus élevé et le plus critique.
« C’est typique de toute vulnérabilité dans une industrie de grande valeur. Vous allez le voir encore et encore », déclare McKee.
Les organisations de soins de santé doivent adopter une approche proactive pour résoudre les vulnérabilités de Log4j afin de protéger les données des patients et l’infrastructure critique.
Le risque de vulnérabilités Log4j pour les organisations de santé
Les vulnérabilités Log4j présentent un risque important pour le secteur de la santé. En janvier 2022, le Bureau de la sécurité de l’information du ministère de la Santé et des Services sociaux a publié une note d’information sur les vulnérabilités de Log4j dans le secteur de la santé. Il a noté que même si aucune entreprise de soins de santé n’a encore signalé de compromis majeur, l’industrie reste « très vulnérable ».
L’une des raisons du risque accru est que les établissements de santé disposent généralement d’une grande variété d’appareils et de systèmes dorsaux, dont certains peuvent avoir plus de dix ans. Cette complexité et ce volume de terminaux peuvent compliquer la recherche et l’identification des vulnérabilités, déclare McKee.
« Il peut s’agir d’une pompe, d’un moniteur patient ou d’un système back-end comme Epic », explique-t-il. « Le défi consiste à comprendre où ils sont vulnérables, où ils l’utilisent et comment cela affecte leur réseau. »
LIRE LA SUITE: Trouvez une voie à suivre depuis Log4j dans le domaine de la santé.
Comme les entreprises de soins de santé s’appuient souvent sur des systèmes et des appareils logiciels prêts à l’emploi, elles ne sont pas toujours conscientes de ce qu’il y a à l’intérieur et n’en ont pas le contrôle total, explique Drex DeFord, stratège exécutif en soins de santé chez CrowdStrike. Les entreprises de soins de santé achètent souvent des équipements médicaux et des solutions logicielles en tant que service (SaaS) avec peu de clarté sur ce qu’il y a à l’intérieur, ce qui signifie que « Log4j est involontairement caché dans les choses qu’ils utilisent tous les jours », dit-il.
Pendant ce temps, le patch n’est pas aussi facile qu’il n’y paraît, dit DeFord. Les organisations de soins de santé doivent généralement prendre de nombreuses mesures pour corriger les vulnérabilités Log4j. Cela inclut souvent une collaboration avec des dizaines de fournisseurs ; dans de nombreuses situations, les organismes de santé ne peuvent pas effectuer eux-mêmes les correctifs car cela peut annuler les garanties des fabricants.
« Ils sont souvent pris entre le marteau et l’enclume. Même s’ils connaissent une vulnérabilité, ils peuvent ne pas être autorisés à la corriger ou à forcer le fabricant à le faire car cela n’est pas inscrit dans un contrat », dit-il.
Comment les organisations de santé peuvent agir contre les vulnérabilités Log4j
Bien que les vulnérabilités Log4j soient difficiles à trouver et à résoudre, les organisations de santé peuvent prendre plusieurs mesures.
La première étape consiste à consulter des fournisseurs SaaS connus pour découvrir comment le logiciel d’un organisme de santé utilise Log4j pour s’assurer que les correctifs sont mis à jour. Les organisations peuvent ensuite mettre des équipements médicaux sur un réseau local virtuel et utiliser des pare-feu pour s’assurer qu’elles « ne parlent qu’aux choses auxquelles elles devraient parler », explique DeFord. Ils devront ensuite vérifier les correctifs et mises à jour Log4j lorsqu’ils acquièrent de nouveaux produits.
Il existe également la possibilité de désactiver les bibliothèques Log4j et de les déconnecter des autres opérations, en supposant que cela n’affecte pas le logiciel ou l’appareil, explique DeFord. Cependant, le moyen de protection le plus viable peut être de corriger ce qui peut l’être, puis de s’appuyer sur la surveillance des menaces et les mises à jour. CrowdStrike propose un centre d’apprentissage pour les vulnérabilités Log4j et surveille activement les menaces Log4j en fonction des modèles de comportement. Cependant, comme pour les autres menaces de cybersécurité, il s’agit en fin de compte de sensibilisation, explique DeFord.
« La dernière situation dans laquelle vous voulez être en tant qu’organisation de soins de santé est d’en entendre parler pour la première fois aux nouvelles », dit-il. « Vous devez être branché sur ce qui se passe. »
SUIVANT: Découvrez comment protéger votre organisation en corrigeant les vulnérabilités de Log4j.
