12月22日,美国国土安全部(DHS)部长亚历杭德罗·N·马约卡斯 (Alejandro N. Mayorkas)发推文表示,为了应对最近发现的 log4j 漏洞,部门正在扩大Hack DHS漏洞赏金计划的范围,包括额外的激励措施,以发现和修补系统中与log4j有关的漏洞。
上周,国土安全部推出了Hack DHS漏洞赏金计划,允许经过审查的网络安全研究人员发现和报告外部 DHS 系统中的漏洞,每个报告的错误可获得高达 5,000 美元的奖励。
这一计划也允许经过审查的黑客参与,他们需要披露所发现的漏洞以及有关漏洞的详细信息、攻击者如何利用它以及如何使用它来访问来自 DHS 系统的信息。
DHS 会在48 小时内验证所有报告的安全漏洞,并在15天或更长时间内修复,这具体取决于漏洞的复杂性。
此次Hack DHS的扩大计划源自上周五由美国网络安全和基础结构安全局(CISA)发出的紧急指令,该指令命令联邦民事行政部门机构在12月23日之前修补被积极利用的Log4Shell漏洞。
CISA 为 Log4Shell 缺陷提供了一个 专门页面,其中包含供应商和受影响组织的补丁信息,并发布了一个 Log4j 扫描程序来查找易受攻击的应用程序。
除此以外,CISA 还与世界各地的网络安全机构和其他美国联邦机构一起发布了一份联合咨询报告,其中包含解决 CVE-2021-44228、CVE-2021-45046 和 CVE-2021-45105 Log4j 安全漏洞的缓解指南。
参考来源:https://www.bleepingcomputer.com/news/security/hack-dhs-bug-bounty-program-expands-to-log4j-security-flaws/