【前言】

       在近1个月的时间里，国家信息安全漏洞库(CNNVD)公布了一系列与Apache Log4J组件有关的漏洞，其中有2个高危漏洞和2个超危漏洞。其中最具破坏力的要数编号为CNNVD-202112-799的名称为“Apache Log4j 代码问题”的漏洞，有网络安全专家预警：若该漏洞的传播攻击范围未得到及时控制，其破坏力或将堪比2017年的“永恒之蓝”病毒。

       Log4J即Log for Java的简称，是阿帕奇(Apache)软件基金会一款基于Java的开源日志记录工具（Log通常指的是日志文件）。通过使用该组件，可以实现控制日志信息的生成过程、输出格式、输出目标等功能，被广泛用于各种消费者和企业服务、网站和应用程序以及医疗设备和支持系统，以记录安全和性能等信息。

       这些漏洞可能会给某些医疗设备带来风险，即远程攻击者可以利用这些漏洞控制受影响的系统，包括设备不可用、未经授权的远程影响设备的功能、安全性和有效性。

【漏洞分析】

       采用通用漏洞评分系统（CVSS）3.1版对CNNVD-202112-799漏洞进行评分，其基础分结果为10.0分的最高分，具体结果为：CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H。

       从打分结果中我们可以看到该漏洞的一些技术特征：

       1. AV:N即攻击媒介为通过网络攻击：这意味着采用BS架构或带网络连接的软件产品更易收到攻击；

       2. AC:L表示攻击复杂性为低，PR:N表示攻击所需特权为无：这意味着针对该漏洞入侵的门槛极低，无需掌握高深的软件或网络安全知识技能即可实现入侵；

       3. UI:N表示攻击过程无人机交互界面，这意味着攻击时无需被攻击者的交互，隐蔽性强。

       4. S:C表示该漏洞能够影响超出其权限的资源，这意味着针对该漏洞的入侵能够取得该软件既有权限下更多的资源，入侵者可据此采取更进一步的行动，由此所导致的结果是非常危险的，包括核心数据的泄露、永久丢失直至整个系统的崩溃。

【影响范围】

       对CNNVD-202112-799漏洞而言，受影响的版本包括2.0版～2.14.0版。由于最早的2.0版最早于2013年就已经发布，2.15.0版本也是最近才更新补漏，这个期间正好是中国及世界互联网高速发展的时期，所以这些受影响版本的使用范围是非常广泛的，导致该漏洞所影响的范围也非常广。

【处置】

       作为包含软件的医疗器械提供商（以下简称注册人），相关技术人员需尽快评估其软件产品受到漏洞的影响，评估风险和制定补救措施。同时，还应评估其医疗设备中使用的第三方软件组件或服务是否可能使用受影响的软件，并按照上述过程评估影响。结合产品情况和阿帕奇官方给出建议，同时采取其他必要的防范性措施，以避免漏洞攻击。由于该Log4J组件漏洞目前仍在被不断发掘并公布，注册人还应继续保持持续警惕和应对，以确系统持续的得到适当保护。截至发稿前，该组件已更新至2.17.1版。

       对于变更后的软件应明确其变更的类型，依据软件版本命名规则重新给出新的版本号并发布。Log4J组件更新属于现成软件中的支持软件的更新，注册人需要重点关注其安全补丁更新对医疗器械的影响，通常情况下可视为轻微软件更新，除非影响到医疗器械的安全性和有效性。

       对于已上市产品，如评估可能受此问题影响，注册人应与其客户沟通。对于还未导致损失和影响的客户及时制定必要的升级维护计划并实施。对于已经导致损失的，结合客户情况及时止损，制定具体恢复方案和实施。其中可能涉及不良事件、召回以及网络安全事件的，应按照相关的法规要求与监管机构协调，采取分析、上报等必要措施。涉及召回的，同时需考虑按照重大网络安全更新处理，申请注册变更。

【结束语】

       系统日志是应用软件不可缺少的部分， 为软件产品的维护性提供了重要的保障，对于医疗器械软件来讲更是如此，理由有以下三个方面。1、医疗器械独立软件的使用期限通常由商业因素确定，是一个较长时间，如果没有软件运行日志，对于软件运维的活动将是灾难性的。2、在GB/T 25000.51-2016 标准中提到，监控软件运行的指示信息包括日志等应包含在产品说明中。3、基于软件技术的进步和维护方便的考虑，远程维护、远程升级已经是技术发展的大势所趋。如此重要的组件发生漏洞对相关软件产品都是一次重要的网络安全事件。

       结合阿里作为首个发现该漏洞的组织因上报不当而导致被工信部处罚的事件，我们应该意识到，与信息技术有关的产品，包括医疗器械独立软件或包含软件组件的医疗器械产品，网络安全的重要性越来越需要被加以重视了。

作者：周玺、夏盟

单位：致众法规事务部