Log4j 漏洞对医疗行业的影响

关键要点

• Log4j 漏洞是一种容易被利用的远程代码执行（RCE）漏洞，影响广泛的软件包。
• 医疗行业在安全资源和知识方面存在严峻差距，使其更易受到攻击。
• 安全领导者需加强对网络中所有应用程序的连接方式进行全面审视。
• 采用自动化扫描工具以提高软件开发生命周期的安全性。

Log4j漏洞的披露对医疗行业敲响了警钟：这种无处不在的bug被广泛应用于各种软件包中，并且极易被攻击利用。然而，这一披露可能进一步加大了资源强劲的组织与资源匮乏的组织之间的差距。

Log4j 是一种远程代码执行（RCE）漏洞，严重性评分为 10 分，几乎可以确定是攻击者的有效入侵点。Invicti 的杰出架构师 Dan Murphy在与 SC Media 的对话中指出，漏洞的严重性在于其易于利用及其对组织可能造成的影响。这正是 Log4j 的独特之处：攻击成本极低。RCE漏洞可能导致后门，进而使黑客获得进一步访问权限，并可能造成敏感数据泄露或篡改。

“仅仅在网络请求中添加一些技术细节，就能导致日志生成，这是非常简单的攻击途径，”Murphy 表示，“这往往会影响由许多不同系统拼接而成的复杂系统。”

通过非常简单的载荷且无需身份验证，攻击者可以诱使对方服务器下载并执行任意代码，进而获取他们所想要的一切。

特别是在医疗行业，攻击者可能会利用这个漏洞实施伪造或篡改数据，甚至作为安装勒索软件或其他破坏性行为的攻击媒介。Murphy强调这是“一扇大开的大门，允许多种类型的攻击。”

“这就是为什么我们看到它在社区中引起如此强烈反响的原因，因为它在攻击类型上是如此强大，且能够造成无限损害，”他说。

扫描 Log4j 的组织与未扫描的组织之间加剧的差距

自 Log4j漏洞披露以来的六个月里，相关的攻击和利用行为非常广泛。尽管拥有强大安全资源的组织迅速处理了这一漏洞，但缺乏有效安全团队或工具的组织则未能取得类似的成功。

Log4j的性质令人感到担忧，因为许多提供商缺乏安全专业知识，甚至连有效的工具也没有能力弥补这些差距。由于医疗生态系统的复杂性，医疗行业长期以来一直在补丁管理和遗留技术方面苦苦挣扎。

“当系统复杂时，很难对这些系统的构成及构建方式有足够的可视性，尤其是在软件越来越复杂的今天，”Murphy
说道。“这是一张相互依赖和不同因素交织在一起的网络，这意味着医疗行业往往更加敏感地感受这些问题。”

因此，安全领导者必须全面审视网络中所有应用程序的连接关系。Murphy 警告说：“因为那些在后端或角落中不经常调用的系统，往往是最需关注的地方。”

在医疗系统中，你可能有一个系统与另一个后端系统相互沟通，但在许多情况下，这种关系并不容易被察觉。他补充说，这“正是为什么我们在 Log4j漏洞披露六个月后，它依然存在的原因。”

扫描和修复之间有着非常强的关联性，而未进行扫描的组织则未能实现同样的成果。在披露后，Log4j 相关案件数激增并持续增长。

Invicti 向客户提供扫描服务，以发现技术中的漏洞，比如网络应用程序。从客户的有限视角来看，Murphy 的团队在过去六个月中观察到 Log4j检测数量的显著减少。

Invicti 的数据显示，这些检测中超过 80% 已得到修复，而定期扫描内部网络应用程序的客户则看到 Log4j 实例的更强降幅。

这种下降表明具备这些强大工具的组织正在“扫描他们的代码和网络应用程序，并修复发现的漏洞。”Murphy表示，“这意味着检测技术有效，人们正在发现并修复他们的代码。”

然而，由于 Log