【前言】
在近1個月的時間里�����,國家信息安全漏洞庫(CNNVD)公布了一系列與Apache Log4J組件有關(guān)的漏洞����,其中有2個高危漏洞和2個超危漏洞��。其中最具破壞力的要數(shù)編號為?CNNVD-202112-799的名稱為“Apache Log4j 代碼問題”的漏洞����,有網(wǎng)絡(luò)安全專家預(yù)警:若該漏洞的傳播攻擊范圍未得到及時控制,其破壞力或?qū)⒖氨?017年的“永恒之藍”病毒。
Log4J即Log for Java的簡稱�����,是阿帕奇(Apache)軟件基金會一款基于Java的開源日志記錄工具(Log通常指的是日志文件)���。通過使用該組件���,可以實現(xiàn)控制日志信息的生成過程、輸出格式�、輸出目標(biāo)等功能,被廣泛用于各種消費者和企業(yè)服務(wù)��、網(wǎng)站和應(yīng)用程序以及醫(yī)療設(shè)備和支持系統(tǒng)��,以記錄安全和性能等信息��。
這些漏洞可能會給某些醫(yī)療設(shè)備帶來風(fēng)險���,即遠程攻擊者可以利用這些漏洞控制受影響的系統(tǒng)���,包括設(shè)備不可用��、未經(jīng)授權(quán)的遠程影響設(shè)備的功能、安全性和有效性�����。
【漏洞分析】
采用通用漏洞評分系統(tǒng)(CVSS)3.1版對?CNNVD-202112-799漏洞進行評分����,其基礎(chǔ)分結(jié)果為10.0分的最高分,具體結(jié)果為:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H�����。
從打分結(jié)果中我們可以看到該漏洞的一些技術(shù)特征:
1. AV:N即攻擊媒介為通過網(wǎng)絡(luò)攻擊:這意味著采用BS架構(gòu)或帶網(wǎng)絡(luò)連接的軟件產(chǎn)品更易收到攻擊����;
2. AC:L表示攻擊復(fù)雜性為低,PR:N表示攻擊所需特權(quán)為無:這意味著針對該漏洞入侵的門檻極低���,無需掌握高深的軟件或網(wǎng)絡(luò)安全知識技能即可實現(xiàn)入侵�;
3. UI:N表示攻擊過程無人機交互界面���,這意味著攻擊時無需被攻擊者的交互�����,隱蔽性強�。
4. S:C表示該漏洞能夠影響超出其權(quán)限的資源,這意味著針對該漏洞的入侵能夠取得該軟件既有權(quán)限下更多的資源����,入侵者可據(jù)此采取更進一步的行動,由此所導(dǎo)致的結(jié)果是非常危險的���,包括核心數(shù)據(jù)的泄露����、永久丟失直至整個系統(tǒng)的崩潰���。
【影響范圍】
對?CNNVD-202112-799漏洞而言�,受影響的版本包括2.0版~2.14.0版�。由于最早的2.0版最早于2013年就已經(jīng)發(fā)布,2.15.0版本也是最近才更新補漏�����,這個期間正好是中國及世界互聯(lián)網(wǎng)高速發(fā)展的時期�,所以這些受影響版本的使用范圍是非常廣泛的,導(dǎo)致該漏洞所影響的范圍也非常廣��。
【處置】
作為包含軟件的醫(yī)療器械提供商(以下簡稱注冊人),相關(guān)技術(shù)人員需盡快評估其軟件產(chǎn)品受到漏洞的影響�,評估風(fēng)險和制定補救措施��。同時��,還應(yīng)評估其醫(yī)療設(shè)備中使用的第三方軟件組件或服務(wù)是否可能使用受影響的軟件����,并按照上述過程評估影響。結(jié)合產(chǎn)品情況和阿帕奇官方給出建議����,同時采取其他必要的防范性措施,以避免漏洞攻擊���。由于該Log4J組件漏洞目前仍在被不斷發(fā)掘并公布���,注冊人還應(yīng)繼續(xù)保持持續(xù)警惕和應(yīng)對,以確系統(tǒng)持續(xù)的得到適當(dāng)保護�。截至發(fā)稿前,該組件已更新至2.17.1版��。
對于變更后的軟件應(yīng)明確其變更的類型�,依據(jù)軟件版本命名規(guī)則重新給出新的版本號并發(fā)布��。Log4J組件更新屬于現(xiàn)成軟件中的支持軟件的更新��,注冊人需要重點關(guān)注其安全補丁更新對醫(yī)療器械的影響����,通常情況下可視為輕微軟件更新����,除非影響到醫(yī)療器械的安全性和有效性。
對于已上市產(chǎn)品����,如評估可能受此問題影響,注冊人應(yīng)與其客戶溝通���。對于還未導(dǎo)致?lián)p失和影響的客戶及時制定必要的升級維護計劃并實施�。對于已經(jīng)導(dǎo)致?lián)p失的����,結(jié)合客戶情況及時止損,制定具體恢復(fù)方案和實施��。其中可能涉及不良事件�����、召回以及網(wǎng)絡(luò)安全事件的,應(yīng)按照相關(guān)的法規(guī)要求與監(jiān)管機構(gòu)協(xié)調(diào)�,采取分析、上報等必要措施���。涉及召回的,同時需考慮按照重大網(wǎng)絡(luò)安全更新處理����,申請注冊變更。
【結(jié)束語】
系統(tǒng)日志是應(yīng)用軟件不可缺少的部分�, 為軟件產(chǎn)品的維護性提供了重要的保障,對于醫(yī)療器械軟件來講更是如此����,理由有以下三個方面。1��、醫(yī)療器械獨立軟件的使用期限通常由商業(yè)因素確定�����,是一個較長時間�����,如果沒有軟件運行日志,對于軟件運維的活動將是災(zāi)難性的����。2、在GB/T 25000.51-2016 標(biāo)準中提到��,監(jiān)控軟件運行的指示信息包括日志等應(yīng)包含在產(chǎn)品說明中����。3、基于軟件技術(shù)的進步和維護方便的考慮��,遠程維護�、遠程升級已經(jīng)是技術(shù)發(fā)展的大勢所趨。如此重要的組件發(fā)生漏洞對相關(guān)軟件產(chǎn)品都是一次重要的網(wǎng)絡(luò)安全事件��。
結(jié)合阿里作為首個發(fā)現(xiàn)該漏洞的組織因上報不當(dāng)而導(dǎo)致被工信部處罰的事件�����,我們應(yīng)該意識到��,與信息技術(shù)有關(guān)的產(chǎn)品,包括醫(yī)療器械獨立軟件或包含軟件組件的醫(yī)療器械產(chǎn)品��,網(wǎng)絡(luò)安全的重要性越來越需要被加以重視了����。
作者:周璽、夏盟
單位:致眾法規(guī)事務(wù)部
