Print 🖨 PDF 📄 eBook 📱

Minimaal één huisartsinformatiesysteem kwetsbaar door Apache Log4j lek

Log4jSinds 9 december 2021 houdt een gigantisch beveiligingslek in software wereldwijd de gemoederen bezig. Het gaat om de kwetsbaarheid in het Apache Log4j-JAVAscript. In Nederland kwam het op 10 december 2021 prominent in het nieuws in het programma Nieuwsuur. Diezelfde dag waarschuwt het Nationaal Cybersecurity Centrum(NCSC) om zo snel mogelijk updates van dit logging-programma te installeren. Het probleem met deze software is echter dat het voor gebruikers niet altijd duidelijk is òf en waar deze software op hun systemen draait. Het kan namelijk ingebouwd zitten in software van derden. Uit berichten die ik afgelopen week ontving blijkt minimaal één huisartsinformatiesysteem(HIS), Medicom, deze kwetsbaarheid te bezitten. Op 12 december 2021 vertelt de leverancier PharmaPartners haar gebruikers dat Log4j in hun HIS aanwezig is, maar dat het wel meevalt. Op 17 december krijgen de gebruikers echter het bericht om hun systeem uit te zetten.

Kwetsbaarheid klein?

Dat Apache Log4J in Medicom zit berichtte men op 12 december. De kwetsbaarheid zorgt ervoor dat hackers een malafide URL in een verzoek kunnen versturen. De ontvangende server verwerkt dit verzoek en raadpleegt deze malafide URL, waarna de hackers een code binnenhalen en de server over kunnen nemen. Men meldt ook:

“Wij zijn direct gestart met het maken van een analyse en zijn tot de conclusie gekomen dat de kans dat u door deze kwetsbaarheid via onze software wordt gehackt erg klein is. Onze systemen die vanaf het internet toegankelijk zijn, bevatten namelijk niet de Apache Log4j software of kunnen niet door deze kwetsbaarheid misbruikt worden. Daarnaast kunnen onze servers een eventuele malafide URL niet raadplegen doordat uitgaand internetverkeer hier niet is toegestaan en dus wordt tegengehouden”

Men geeft aan dat met grote prioriteit gewerkt wordt aan het installeren van updates waarmee de fabrikant het lek dicht.

Kwetsbaarheid toch veel groter

Op 17 december 2021 komt PharmaPartners met een bericht dat de kop heeft “Belangrijk. Zet uw computer uit.” De vraag aan de huisartsen is om zo snel mogelijk het systeem af te sluiten en pas maandagochtend 20 december weer op te starten.

In het tussenliggende weekend zal PharmaPartners werken aan een nieuwe versie van haar applicatie Medicom. Daarin zal ze de naar hun zeggen meest recente versie van Log4j, versie 2.16 geïnstalleerd hebben. PharmaPartners komt nog met een extra waarschuwing.

Advies: Laat IT-leverancier systeem checken

Deze extra waarschuwing houdt het volgende in. Omdat er de afgelopen dagen gewerkt is met de kwetsbare versie van Log4j kunnen hackers individuele systemen al gecompromitteerd hebben. Bovendien kunnen op huisartssystemen ook andere applicaties draaien die onder het oppervlak de Log4j-software bevat. De materie is dus niet zo simpel als PharmaPartners op 12 december nog dacht en de klanten voorspiegelde.

Alweer nieuwere Log4j-versie

PharmaPartners schrijft dat zij versie 2.16 van Apache Log4j zal gaan installeren. Dat is inmiddels al achterhaald. Op de Apache-website zag ik dat er inmiddels sinds 17-12-2021 al een versie 2.17 bestaat.  Men schrijft er het volgende over:

Apache Log4j2 versions 2.0-alpha1 through 2.16.0 did not protect from uncontrolled recursion from self-referential lookups. When the logging configuration uses a non-default Pattern Layout with a Context Lookup (for example, $${ctx:loginId}), attackers with control over Thread Context Map (MDC) input data can craft malicious input data that contains a recursive lookup, resulting in a StackOverflowError that will terminate the process. This is also known as a DOS (Denial of Service) attack.”

Ik hoop en verwacht eerlijk gezegd dat PharmaPartners ook wel ondertussen zal weten dat versie 2.17 de meest recente is. Eén en ander geeft wel aan hoe ingewikkeld dit beveiligingslek is en dat men nog steeds nieuwe dingen ontdekt.

Bredere betekenis

Problemen met Log4j bij andere huisartsinformatiesystemen zijn mij niet bekend. Het is echter heel goed mogelijk dat daar vergelijkbare problematiek speelt. De tijd zal moeten leren of deze problemen breder spelen in de eerstelijnszorg.  Zorgelijk is wel dat het om software gaat waarvan op het eerste gezicht niet duidelijk waar die zich onder de motorkap bevindt en meer specifiek in welke applicaties die zich bevindt.

Het laat één en andermaal zien dat digitalisering van de zorg ook duidelijke schaduwzijden heeft.

W.J. Jongejan, 19 december 2021

Afbeelding van Military_Material via Pixabay, bewerkt door W.J. Jongejan