Kritieke kwetsbaarheid Spring4Shell in minimaal 1 huisartsinformatiesysteem

KritiekeOp 31 maart 2022 gaf het Nationaal Cyber Security Centrum(NCSC) een waarschuwing uit vanwege een kritieke kwetsbaarheid in Spring Core Framework. Dat is een veelgebruikte set van “libraries(=verzamelingen van programma-regels)” voor de programmeertaal Java. Het probleem zit in de Spring4Shell-software. Een kwaadwillende kan volgens het NCSC de kwetsbaarheid misbruiken om een willekeurige code uit te voeren. Hiermee kan toegang tot gevoelige informatie binnen die applicatie worden verkregen. Op 1 april kregen gebruikers van het huisartsinformatiesysteem(HIS) Medicom een spoed-email van leverancier PharmaPartners. Daarin staat dat dit HIS ergens in de software gebruik maakt van Spring4Shell. Men stelt dat er vooralsnog geen gevaar is voor HIS-gegevens die in de PharmaPartners-systemen zijn en worden opgeslagen. In één adem vertelt men dat ze op 2 en 3 april een update van Medicom uitvoeren. Blijkbaar heeft de kwetsbaarheid toch de nodige importantie. De vraag rijst of Medicom als enige HIS deze kwetsbare software bevat.

NCSC

De kwetsbaarheid meldt het NCSC onder de het volgnummer NCSC-2022-0221. Men geeft daarbij aan  dat de kans dat hackers dit gaan gebruiken als hoog. Ook de potentiële schade schat men hoog in. De kwetsbaarheid staat internationaal bekend onder de code CVE-2022-22965. Het is een andere dan een wat dagen eerder gemelde CVE-2022-22963. Dat ging om een lek in de Spring Cloud Function. Ook hier waarschuwde het NCSC voor. De software is afkomstig van het bedrijf Spring. Te vinden op de website www.spring.io.

Oplossing

De oplossing voor het probleem in Spring4Shell kan men verhelpen door een nieuwere versie te installeren. Spring.io heeft updates beschikbaar gesteld om de kwetsbaarheid te verhelpen in Spring Framework versie 5.3.18 en 5.2.20. Als die software nog niet geïnstalleerd is bestaan er mitigerende maatregelen. Voor softwareleveranciers verdient het aanbeveling om te inventariseren of er Spring4Shell-software geïncorporeerd is in de eigen producten.

Medicom zeker niet de enige  

De Java-programmeertaal kent vele toepassingen in software die men in de zorg gebruikt. Hetzelfde speelde recent bij Apache-software, ook JAVA-programmatuur. Ik schreef erover op 19 december 2021 en op 23 maart 2022. Omdat het makkelijk toepasbare en aan eigen software te koppelen programma’s zijn, kent JAVA ook veel gebruikers in de zorg. Van Medicom weet ik het nu, maar ik vermoed dat er veel meer HIS-sen, maar ook ziekenhuis- of apotheekinformatiesystemen etc. bestaan die gebruik maken van JAVA-software van Spring die genoemde kwetsbaarheden bevatten. Het verdient dan ook aanbeveling dat softwareleveranciers van systemen in de zorg nauwgezet controleren of de gewraakte kwetsbare versies van de Spring-software in hun systemen zit.

Zo sterk als de zwakste schakel

Je ziet in de ICT-systemen telkens weer, nu ook, dat de keten van gebruikte software zo sterk is als de zwakste schakel die daarin zit. Het is dan ook van groot belang dat men, zeker in de zorg, continu inventariseert of men gebruik maakt van elders gemaakte confectie-software die in- of aan de eigen software gebouwd wordt.

Continu alert blijven luidt dus de boodschap. Ook bestaat de dwingende noodzaak tot het volgen van de berichten van het NCSC, vallend onder het ministerie van Justitie en Veiligheid, maar ook van Digital Trust Center van het ministerie van Economische Zaken en Klimaat.

W.J. Jongejan, 3 april 2022

Afbeelding van Pete Linforth via Pixabay