美国联邦贸易委员会(FTC)周二警告说,它将动用法律力量追查未能保护消费者数据免受Log4j漏洞风险的公司和供应商。“联邦贸易委员会打算利用其全部法律权力追查未能采取合理措施保护消费者数据免受Log4j或类似已知漏洞影响的公司,”警告中写道。因此,漏洞为漏洞利用打开了大门,这可能导致面临严重法律后果(例如巨额罚款)的公司“丢失或泄露个人信息、财务损失和其他不可逆转的伤害”。它特别提到了FTC法案和Gramm-Leach-Bliley法案。FTC法案是委员会的主要法规,规定了对消费者伤害的货币补偿和其他补救措施。Gramm-Leach-Bliley要求金融机构保护敏感数据。FTC敦促说:“依赖Log4j及其供应商的公司现在必须采取行动,以减少对消费者造成伤害的可能性并避免被FTC起诉的风险,这一点至关重要。”FTC警告引用了针对Equifax的诉讼,Equifax同意支付7亿美元和解FTC、消费者金融保护局和所有50个州就臭名昭著的2017年数据泄露事件采取的行动。根据FTC的说法,Equifax未能修补已知漏洞“不可逆转地暴露了1.47亿消费者的个人信息”。它说,如果您的公司未能保护消费者数据免受Log4Shell或任何类似的已知漏洞的影响,预计还会发生更多类似的情况。FTC建议公司遵循网络安全和基础设施安全局(CISA)的指导,检查他们是否使用Apache的Log4j日志库,该库被称为Log4Shell漏洞集群的核心。CISA建议发现他们正在使用Log4j的公司应该执行以下操作:将您的Log4j包更新到最新版本。请参阅CISA指南以缓解此漏洞。请务必采取补救措施,以确保贵公司的做法不违反法律。未能识别和修补此软件的公司可能违反了FTC法案。将此信息传递给向弱势消费者销售产品或提供服务的第三方附属机构。12月17日,CISA发布了一项紧急指令,要求联邦文职部门和机构在12月23日星期四之前立即修补其面向互联网的系统以解决Log4j漏洞。联邦机构还有五天时间(到12月28日)报告受Log4Shell影响的产品,包括供应商和应用程序名称和版本,以及为防止尝试使用Log4Shell而采取的措施(例如,更新、缓解措施、从代理网络中删除)。CISA有一个专门针对Log4Shell漏洞的页面,其中包含补丁信息,并发布了一个Log4j扫描器来查找可能存在漏洞的Web服务。Log4jAscendant的原始漏洞CVE-2021-44228于12月9日被发现,并在数小时内被利用。截至12月15日,已有超过180万次针对半数企业网络的攻击使用至少70个不同的恶意软件家族来利用三个漏洞:1.Log4Shell远程代码执行(RCE)2.拒绝服务(DoS)的可能性)存在于Apache的初始补丁中。还有,还有...3.第三个漏洞,类似Log4Shell的DoS漏洞,同样影响日志库。它的不同之处在于它涉及上下文映射查找,而不是CVE-2021-44228中涉及的LDAP服务器的Java命名和目录接口(JNDI)查找:允许攻击者执行Log4Shell漏洞中返回的任何代码的查找.至此,Conti勒索软件团伙已经拥有了数周的完整攻击链。在周一的更新中,微软表示12月底没有任何缓解措施:该公司观察到国家资助的网络犯罪分子攻击者在月底前探测系统中的Log4Shell漏洞。微软安全研究人员警告说:“微软已经观察到攻击者使用许多相同的清单技术来定位目标。一些狡猾的对手,例如民族国家行为者,已经被观察到利用这些漏洞。扩大利用这些漏洞的可能性很高。““在12月的最后几周,攻击尝试仍在继续。我们观察到许多攻击者将对这些漏洞的攻击添加到他们现有的恶意软件工具包和策略中,”研究人员说。从硬币矿工到手动键盘攻击。”寻找Log4j响应Log4j漏洞最具挑战性的方面之一就是简单地识别使用Log4j的组织中的设备。“因为它是一个跨平台、广泛使用的软件库,所以它的部署位置和部署方式多种多样:它可以是与另一个应用程序包捆绑在一起的自安装应用程序包,作为磁盘上的另一个文件,或嵌入到另一个应用程序中,”SevcoSecurity的联合创始人兼首席执行官JJGuy周三告诉Threatpost。他补充说:“更糟糕的是,它被用于从云管理服务到服务器应用程序,甚至固定功能嵌入式设备的所有领域。联网的烤面包机很可能容易受到Log4Shell的攻击。”Guy说:“我们现在处于分类阶段,系统管理或软件管理工具等基本工具可以提供初始分类。”一个问题:还有哪些设备需要分流?盖伊说:“对于董事会、首席执行官、首席信息官、首席信息官或首席信息安全官等组织领导者来说,要对这些分类结果充满信心,他们不仅需要报告已分类的机器,还需要报告有多少机器正在等待分类”“报告‘待分类’统计数据需要完整的资产清单,包括哪些机器已成功分类。”他称这在每个组织的回应中都是“一个更大的隐藏挑战”,因为很少有企业拥有全面的资产清单,“尽管很少有企业十年来一直是每个安全合规计划的首要要求。”本文翻译自:https://threatpost.com/ftc-pursue-companies-log4j/177368/如有转载请注明出处。
