全國熱線:400 0087 916

english
中文 English

資訊中心

【原創】Log4J漏洞對醫療器械網絡安全的提示

2022-01-10 392

【前言】

       在近1個月的時間里,國家信息安全漏洞庫(CNNVD)公布了一系列與Apache Log4J組件有關的漏洞,其中有2個高危漏洞和2個超危漏洞。其中最具破壞力的要數編號為?CNNVD-202112-799的名稱為“Apache Log4j 代碼問題”的漏洞,有網絡安全專家預警:若該漏洞的傳播攻擊范圍未得到及時控制,其破壞力或將堪比2017年的“永恒之藍”病毒。

       Log4J即Log for Java的簡稱,是阿帕奇(Apache)軟件基金會一款基于Java的開源日志記錄工具(Log通常指的是日志文件)。通過使用該組件,可以實現控制日志信息的生成過程、輸出格式、輸出目標等功能,被廣泛用于各種消費者和企業服務、網站和應用程序以及醫療設備和支持系統,以記錄安全和性能等信息。

 

       這些漏洞可能會給某些醫療設備帶來風險,即遠程攻擊者可以利用這些漏洞控制受影響的系統,包括設備不可用、未經授權的遠程影響設備的功能、安全性和有效性。

 

【漏洞分析】

       采用通用漏洞評分系統(CVSS)3.1版對?CNNVD-202112-799漏洞進行評分,其基礎分結果為10.0分的最高分,具體結果為:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H。

 

       從打分結果中我們可以看到該漏洞的一些技術特征:

       1. AV:N即攻擊媒介為通過網絡攻擊:這意味著采用BS架構或帶網絡連接的軟件產品更易收到攻擊;

       2. AC:L表示攻擊復雜性為低,PR:N表示攻擊所需特權為無:這意味著針對該漏洞入侵的門檻極低,無需掌握高深的軟件或網絡安全知識技能即可實現入侵;

       3. UI:N表示攻擊過程無人機交互界面,這意味著攻擊時無需被攻擊者的交互,隱蔽性強。

       4. S:C表示該漏洞能夠影響超出其權限的資源,這意味著針對該漏洞的入侵能夠取得該軟件既有權限下更多的資源,入侵者可據此采取更進一步的行動,由此所導致的結果是非常危險的,包括核心數據的泄露、永久丟失直至整個系統的崩潰。

 

【影響范圍】

       對?CNNVD-202112-799漏洞而言,受影響的版本包括2.0版~2.14.0版。由于最早的2.0版最早于2013年就已經發布,2.15.0版本也是最近才更新補漏,這個期間正好是中國及世界互聯網高速發展的時期,所以這些受影響版本的使用范圍是非常廣泛的,導致該漏洞所影響的范圍也非常廣。

 

【處置】

       作為包含軟件的醫療器械提供商(以下簡稱注冊人),相關技術人員需盡快評估其軟件產品受到漏洞的影響,評估風險和制定補救措施。同時,還應評估其醫療設備中使用的第三方軟件組件或服務是否可能使用受影響的軟件,并按照上述過程評估影響。結合產品情況和阿帕奇官方給出建議,同時采取其他必要的防范性措施,以避免漏洞攻擊。由于該Log4J組件漏洞目前仍在被不斷發掘并公布,注冊人還應繼續保持持續警惕和應對,以確系統持續的得到適當保護。截至發稿前,該組件已更新至2.17.1版。

       對于變更后的軟件應明確其變更的類型,依據軟件版本命名規則重新給出新的版本號并發布。Log4J組件更新屬于現成軟件中的支持軟件的更新,注冊人需要重點關注其安全補丁更新對醫療器械的影響,通常情況下可視為輕微軟件更新,除非影響到醫療器械的安全性和有效性。

       對于已上市產品,如評估可能受此問題影響,注冊人應與其客戶溝通。對于還未導致損失和影響的客戶及時制定必要的升級維護計劃并實施。對于已經導致損失的,結合客戶情況及時止損,制定具體恢復方案和實施。其中可能涉及不良事件、召回以及網絡安全事件的,應按照相關的法規要求與監管機構協調,采取分析、上報等必要措施。涉及召回的,同時需考慮按照重大網絡安全更新處理,申請注冊變更。

 

【結束語】

       系統日志是應用軟件不可缺少的部分, 為軟件產品的維護性提供了重要的保障,對于醫療器械軟件來講更是如此,理由有以下三個方面。1、醫療器械獨立軟件的使用期限通常由商業因素確定,是一個較長時間,如果沒有軟件運行日志,對于軟件運維的活動將是災難性的。2、在GB/T 25000.51-2016 標準中提到,監控軟件運行的指示信息包括日志等應包含在產品說明中。3、基于軟件技術的進步和維護方便的考慮,遠程維護、遠程升級已經是技術發展的大勢所趨。如此重要的組件發生漏洞對相關軟件產品都是一次重要的網絡安全事件。

       結合阿里作為首個發現該漏洞的組織因上報不當而導致被工信部處罰的事件,我們應該意識到,與信息技術有關的產品,包括醫療器械獨立軟件或包含軟件組件的醫療器械產品,網絡安全的重要性越來越需要被加以重視了。

 

作者:周璽、夏盟

單位:致眾法規事務部

 

人人妻人人做人人爽夜欢