FTC警告:企业可能因未能修补Log4j漏洞而面临法律后果(机器人的零日漏洞)可能面临法律后果。在本周的警报中,消费者保护机构警告称,这个于去年12月首次发现的“严重”漏洞正被越来越多的攻击者利用,并对数百万消费品造成“严重损害”。风险”。这封公开信敦促组织减轻漏洞,以减少对消费者造成伤害的可能性,并避免潜在的法律诉讼。“当发现和利用漏洞时,它有可能导致个人信息丢失或泄露、财务损失,以及其他不可逆转的伤害,”该机构表示。“采取合理措施缓解已知软件漏洞的责任涉及法律,包括《联邦贸易委员会法》和《格雷姆-里奇-比利雷法案》。依赖Log4j的公司及其供应商现在必须采取行动,以减少对消费者造成伤害的可能性,并避免FTC采取法律行动,这一点至关重要。”FTC强调了Equifax的案例,该公司在2017年因未能修补已知的ApacheStruts漏洞而暴露了1.47亿消费者的敏感信息。信用报告机构后来同意支付7亿美元与该机构和各个州达成和解。“联邦贸易委员会打算利用其全部法律权力追查未能采取合理措施保护消费者数据免受Log4j或类似未来已知漏洞影响的公司,”联邦贸易委员会表示。它还计划在未来出现类似的已知漏洞时,利用其法律权力保护消费者。对于急于逃避潜在的数百万美元罚款的组织,FTC鼓励他们遵循美国网络安全和基础设施安全局(CISA)发布的指南。这敦促企业将Log4j包更新到最新版本,采取措施缓解漏洞,并向可能受影响的第三方和消费者发布有关漏洞的信息。在FTC发出警告信号之前,微软本周警告称,Log4Shell漏洞对公司来说仍然是一个复杂且高风险的情况,并补充说“在12月的最后几周,漏洞利用尝试和测试仍然很多”,两者都处于低风险状态。熟练的攻击者和利用该漏洞的民族国家行为者。此外,它还补充说:“在这个时刻,客户应该考虑到广泛可用的漏洞利用代码和扫描功能是对其环境的真实和现实的危险。由于受影响的软件和服务的数量以及更新的速度,预计这会有很长的修复尾巴,需要时刻保持警惕。“
