Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Yönetim ve Risk Yönetimi
Sağlık Sektörü Açık Kaynaklı Web Sunucusuna Büyük Ölçüde Güveniyor; Eski Kusurlar Risk Oluşturuyor
Marianne Kolbass McGee (SağlıkBilgiGüvenliği) •
6 Eylül 2024
Federal yetkililer, Apache Tomcat’i giderilmediği takdirde saldırılara karşı riske sokan güvenlik açıkları konusunda sağlık ve kamu sağlığı sektörü kuruluşlarını uyarıyor. Sağlık sektörü, elektronik sağlık kayıtlarını ve bir dizi diğer sistem ve uygulamayı barındırmak için kâr amacı gütmeyen Apache Corp. tarafından yönetilen açık kaynaklı web sunucusuna büyük ölçüde güveniyor.
Ayrıca bakınız: 2024 Dolandırıcılık İçgörüleri Raporu
Sağlık ve Sosyal Hizmetler Bakanlığı’na bağlı Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi, Çarşamba günü yayınladığı uyarıda, Tomcat’te sürekli olarak siber saldırılara açık hale getirebilecek güvenlik açıklarının keşfedildiğini belirtti.
HHS HC3, “İşlevselliği nedeniyle genellikle doğrudan internete açıktır ve bu da sayısız tehdit aktörü tarafından erişilebilir hale getirir” dedi.
“Genellikle EHR sistemlerini barındırmak, sağlık bilgi değişim sistemlerini çalıştırmak, laboratuvar bilgi yönetim sistemlerini barındırmak, özel sağlık uygulamaları barındırmak ve çalıştırmak ve telemedikal uygulamaları desteklemek gibi diğer işlevler için kullanılır,” diyor uyarıda. “Tomcat çok sık konuşlandırıldığı için tehdit aktörlerinin dikkatini çekmiştir,” diye uyarıyor HHS HC3.
Bazı uzmanlar, Tomcat açıklarının yıllardır var olduğunu ancak sağlık kuruluşları tarafından sıklıkla ihmal edildiğini ve bu nedenle risk altında olduklarını söyledi.
“Tomcat, çok yaygın kullanıma sahip, savaşta sertleştirilmiş bir yazılımdır. Büyük bir Tomcat güvenlik açığının duyurulmasının üzerinden epey zaman geçti; bu hafta çıkan HHS HC3 Tomcat uyarısı, esas olarak son beş ila 10 yılda yayınlanmış olan önemli tarihsel güvenlik açıklarına odaklanıyor, son gelişmelere değil,” diyor güvenlik firması Rapid7’de baş güvenlik araştırmacısı olan Ryan Emmons.
“Yeni sıfırıncı gün açıklarının kuruluşlara karşı silah olarak kullanılması giderek yaygınlaşıyor, ancak eski CVE’lerin istismarı hâlâ çok daha yaygın bir durum,” dedi.
Bilinen güvenlik açıkları, tehdit aktörleri tarafından sıklıkla otomatik bir şekilde kullanılır, dedi. “Varlıklarının görünürlüğüyle mücadele eden büyük kuruluşlar için, bu eski Tomcat güvenlik açıkları aylarca hatta yıllarca devam edebilir ve özellikle saldırı yüzey alanı internete dönük olduğunda güvenlik olayı riskini artırabilir.”
HHS HC3 uyarısı, sağlık kuruluşlarının zaten yama yapması “gereken” Tomcat Apache’deki bir düzineden fazla “tarihsel” güvenlik açığını listeliyor. Ancak yapmamışlarsa, bu güvenlik açıkları saldırılara açık olmaya devam ediyor.
HHS HC3, Tomcat’teki yaygın tarihsel güvenlik açıklarının genellikle uzaktan kod yürütme, bilgi ifşası, siteler arası betik çalıştırma, hizmet reddi, güvenli olmayan serileştirme, güvenlik yanlış yapılandırması, oturum sabitleme ve dizin geçişini içerdiğini belirtti.
“Birçok tehdit aktörü kolay hedeflerin peşinde. 2013’ten beri kamuya açık internette bulunan unutulmuş Tomcat sunucuları, saldırganların bulmayı umduğu türden şeyler,” dedi Emmons.
Son dönemde dikkat çeken Tomcat açıklarının çoğunun hizmet reddi koşullarına yol açtığını ve bunun da hedeflenen uygulamalarda kesintiye neden olduğunu söyledi.
“Ancak, CVE-2017-12617 veya CVE-2019-0232 gibi daha ciddi eski kod yürütme güvenlik açıklarının istismarı, bir saldırganın kurban bilgisayarda istediği programı çalıştırabilmesiyle sonuçlanabilir. Saldırganlar buradan Tomcat sisteminin veritabanlarından veri yağmalayabilir ve sağlık ağlarındaki diğer sistemlere yatay olarak geçmeye çalışabilir.
Emmons, “Tomcat’i savunmanın en iyi yolu iyi bir güvenlik hijyenine sahip olmaktır: Varlıklarınızı bilin, bunları düzenli olarak düzeltin, Tomcat yönetim arayüzleri için güçlü parolalar uygulayın ve mümkün olduğunca sistemlerin maruziyetini sınırlayın” dedi.