Personalmente, penso che tu abbia bisogno di assumere una società di consulenza sulla sicurezza per coprire adeguatamente i problemi di sicurezza qui. I tuoi problemi di sicurezza esatti saranno altamente contestuali e ci sono ulteriori implicazioni normative negli ospedali. Detto questo, proverò a coprire le tue preoccupazioni.
This application is in use in many large hospital systems, so finding it hard to believe that vendor wouldn't have addressed this somehow
Sfortunatamente, è abbastanza comune. Parla con chiunque gestisca infrastrutture IT, reti, sicurezza, software, ecc. In un ospedale (o qualsiasi altra organizzazione) e ti diranno la stessa cosa - i fornitori di solito sono lenti a risolvere i problemi, e spesso non metteranno sforzo per i prodotti legacy che sono ancora invocati.
Is this is a concern?
Molto probabilmente sì. Stai mettendo un quadro obsoleto e insicuro sui sistemi interessati. Java può essere richiamato tramite il browser a meno che non sia configurato correttamente, il che consente potenzialmente attacchi remoti contro il sistema. Un altro vettore di attacco potenziale contro il framework è tramite server Web Java come Apache Tomcat, che potrebbe esporre funzionalità sfruttabili (ad es. RMI) indipendentemente da ciò che fa l'applicazione.
What questions do I ask of the vendor to determine our specific vulnerability - e.g. if they keep our system updated with critical patches, etc?
Il problema è che, se stanno usando Java obsoleto (specialmente 1.6 o precedenti), allora non importa ciò che fanno per affrontare le singole vulnerabilità nella loro applicazione - il framework sottostante è rotto e loro non è in grado di attenuarlo individualmente.
Is the only recourse to insist that the vendor move to 1.8 before we create access into our network from outside entities?
La semplice risposta è sì. La risposta più complessa è che potrebbe sandbox fuori dal server delle applicazioni in modo che, se dovesse essere compromesso, ci sia un livello limitato di accesso che ha di nuovo nella tua rete interna, se presente. Tuttavia, se i dati del paziente sono inclusi (in particolare qualsiasi PII), allora hai i requisiti normativi con cui contestare.
Il TL; DR è che il fornitore dovrebbe aggiornare il proprio codice per lavorare con una versione più moderna di Java. Esistono due modi principali per accelerare questo processo: offrire il pagamento dei tempi di sviluppo necessari per farlo, o minacciare di disattivare il servizio e utilizzare un'alternativa più aggiornata.
Un'altra strada che hai è normativa: supponendo che tu sia negli Stati Uniti, comunica al tuo ente normativo HIPAA che il loro software utilizza una struttura vulnerabile che si traduce nell'esposizione ai rischi delle informazioni sui pazienti. Se la loro base di clienti è ampia, potrebbe essere richiesto dalla legge di aggiornare il proprio software o mitigare in qualche modo eventuali problemi.