聯(lián)邦貿(mào)易委員會(FTC)周二警告稱���,將集結(jié)其法律力量追究未能保護消費者數(shù)據(jù)免受Log4j漏洞風(fēng)險的公司和供應(yīng)商�。
警告中寫道:“FTC打算利用其全部法律權(quán)力追究未能采取合理措施保護消費者數(shù)據(jù)免遭Log4j或類似已知漏洞的公司��������!
聯(lián)邦貿(mào)易委員會表示�,那些將消費者數(shù)據(jù)泄露����、未及時修補漏洞從而為漏洞利用打開大門����,由此可能導(dǎo)致的“個人信息丟失或泄露�、經(jīng)濟損失和其他不可逆轉(zhuǎn)的傷害”的公司,正面臨著巨額罰款等嚴重的法律后果�。
它特別提到了聯(lián)邦貿(mào)易委員會法案 (The FTC Act)和Gramm-Leach-Bliley法案。FTC法案是該委員會的主要法規(guī)�����,其中針對損害消費者的行為規(guī)定了金錢補償和其他救濟��。Gramm-Leach-Bliley要求金融機構(gòu)保護敏感數(shù)據(jù)��。
“至關(guān)重要的是��,依賴Log4j的公司及其供應(yīng)商現(xiàn)在就采取行動��,以減少對消費者造成傷害的可能性�,以免受FTC的起訴風(fēng)險,”美國聯(lián)邦貿(mào)易委員會敦促道����。
美國聯(lián)邦貿(mào)易委員會的警告中提到了對Equifax的訴訟,Equifax同意支付7億美元已了結(jié)美國聯(lián)邦貿(mào)易委員會、消費者金融保護局和所有50個州因臭名昭著的2017年數(shù)據(jù)泄露而采取的行動��。
根據(jù)美國聯(lián)邦貿(mào)易委員會�����,由于Equifax未能修補已知漏洞���,“不可逆轉(zhuǎn)地使得1.47億消費者的個人信息遭到暴露”。它說���,如果您的公司因Log4Shell或任何類似的已知漏洞而無法保護消費者數(shù)據(jù)免受暴露�����,預(yù)計會有更多相同的情況發(fā)生�����。
美國聯(lián)邦貿(mào)易委員會建議企業(yè)遵從網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的指導(dǎo)����,以檢查他們是否使用Apache的Log4j日志庫�����,該庫被稱為Log4Shell漏洞集群的心臟。
CISA建議����,發(fā)現(xiàn)他們正在使用Log4j的公司應(yīng)該執(zhí)行以下操作:
12月17日����,CISA發(fā)布了一項緊急指令,要求聯(lián)邦民事部門和機構(gòu)在12月23日星期四之前立即修補其面向互聯(lián)網(wǎng)的系統(tǒng)��,以解決Log4j漏洞���。聯(lián)邦機構(gòu)還有五天時間(直到12月28日)報告受Log4Shell影響的產(chǎn)品�,包括供應(yīng)商和應(yīng)用程序名稱和版本,以及已采取的措施(例如更新�����、緩解����、從代理網(wǎng)絡(luò)中刪除)以阻止利用Log4Shell的嘗試。
CISA為Log4Shell漏洞提供了一個專門的頁面�����,其中包含修補信息����,同時發(fā)布了一個Log4j掃描程序來尋找潛在的易受攻擊的Web服務(wù)����。
Log4j方興未艾
最初的漏洞——CVE-2021-44228——于12月9日被發(fā)現(xiàn),并在數(shù)小時內(nèi)受到攻擊����。截至12月15日,已有超過180萬次攻擊���,針對一半的公司網(wǎng)絡(luò)�����,使用至少70個不同的惡意軟件系列���,以利用三個漏洞:
1. Log4Shell遠程代碼執(zhí)行(RCE)漏洞引發(fā)了更嚴重的突變��,并導(dǎo)致……
2. Apache初始補丁中存在拒絕服務(wù)(DoS)的可能性�����。另外���,還有……
3. 第三個漏洞,一個類似于Log4Shell的DoS漏洞����,它也影響了日志庫。它的不同之處在于它涉及Context Map查找�,而不是對CVE-2021-44228中涉及的LDAP服務(wù)器的Java命名和目錄接口(JNDI)查找:允許攻擊者執(zhí)行執(zhí)行Log4Shell漏洞中返回的任何代碼的查找。
至此�,Conti勒索軟件團伙已經(jīng)擁有完整的攻擊鏈數(shù)周了。
在周一的更新中����,微軟表示12月底沒有任何緩解:該公司觀察到某國家資助的網(wǎng)絡(luò)犯罪攻擊者在月底之前一直在探測系統(tǒng)的Log4Shell漏洞���。微軟安全研究人員警告說:“微軟觀察到攻擊者使用許多相同的清單技術(shù)來定位目標。已經(jīng)觀察到一些狡猾的對手(如民族國家行為者)正在利用這些漏洞�。擴大利用這些漏洞的可能性很大����!
研究人員說:“在12月的最后幾周,漏洞利用的嘗試一直在繼續(xù)�。我們觀察到許多攻擊者在他們現(xiàn)有的惡意軟件工具包和策略中添加了對這些漏洞的利用,從硬幣礦工到手動鍵盤攻擊������!
查找Log4j
響應(yīng)Log4j漏洞最具挑戰(zhàn)性的方面之一就是簡單地識別使用Log4j的組織中的設(shè)備��。
“由于它是一個跨平臺����、廣泛使用的軟件庫,它的部署位置和方式有著驚人的多樣性:它可以是一個自行安裝的應(yīng)用程序包��,與另一個應(yīng)用程序包捆綁在一起,作為磁盤上的另一個文件���,或者嵌入到另一個應(yīng)用程序中������!盨evco Security的聯(lián)合創(chuàng)始人兼首席執(zhí)行官JJ Guy周三告訴Threatpost���。
他補充說:“更糟糕的是����,它被用于從云管理服務(wù)到服務(wù)器應(yīng)用程序�,甚至是固定功能的嵌入式設(shè)備的所有領(lǐng)域。連接互聯(lián)網(wǎng)的toaster很可能容易受到Log4Shell的攻擊���������!
Guy說:“我們現(xiàn)在正處于分流階段,在這一階段���,如系統(tǒng)管理或軟件管理工具等基本工具可以提供初步分類��������!
一個問題:還有哪些設(shè)備需要分類?
Guy說:“對于董事會����、首席執(zhí)行官����、首席信息官或首席信息安全官等組織領(lǐng)導(dǎo)者來說,要對這些分類結(jié)果充滿信心���,他們不僅需要報告已分類的機器����,還要報告有多少機器正在等待分類������!薄皥蟾妗诸悺y(tǒng)計數(shù)據(jù)需要完整的資產(chǎn)清單,包括哪些機器已成功分類������!
他稱這是每個組織的應(yīng)對措施中的“一個更大的隱藏挑戰(zhàn)”,因為很少有企業(yè)擁有全面的資產(chǎn)清單����,“盡管幾十年來它一直是每個安全合規(guī)計劃的首要要求��!
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
