联邦贸易委员会(FTC)周二警告称,将集结其法律力量追究未能保护消费者数据免受Log4j漏洞风险的公司和供应商。
警告中写道:“FTC打算利用其全部法律权力追究未能采取合理措施保护消费者数据免遭Log4j或类似已知漏洞的公司。”
联邦贸易委员会表示,那些将消费者数据泄露、未及时修补漏洞从而为漏洞利用打开大门,由此可能导致的“个人信息丢失或泄露、经济损失和其他不可逆转的伤害”的公司,正面临着巨额罚款等严重的法律后果。
它特别提到了联邦贸易委员会法案 (The FTC Act)和Gramm-Leach-Bliley法案。FTC法案是该委员会的主要法规,其中针对损害消费者的行为规定了金钱补偿和其他救济。Gramm-Leach-Bliley要求金融机构保护敏感数据。
“至关重要的是,依赖Log4j的公司及其供应商现在就采取行动,以减少对消费者造成伤害的可能性,以免受FTC的起诉风险,”美国联邦贸易委员会敦促道。
美国联邦贸易委员会的警告中提到了对Equifax的诉讼,Equifax同意支付7亿美元已了结美国联邦贸易委员会、消费者金融保护局和所有50个州因臭名昭著的2017年数据泄露而采取的行动。
根据美国联邦贸易委员会,由于Equifax未能修补已知漏洞,“不可逆转地使得1.47亿消费者的个人信息遭到暴露”。它说,如果您的公司因Log4Shell或任何类似的已知漏洞而无法保护消费者数据免受暴露,预计会有更多相同的情况发生。
美国联邦贸易委员会建议企业遵从网络安全和基础设施安全局(CISA)的指导,以检查他们是否使用Apache的Log4j日志库,该库被称为Log4Shell漏洞集群的心脏。
CISA建议,发现他们正在使用Log4j的公司应该执行以下操作:
- 将您的Log4j软件包更新到最新版本。
- 请参阅CISA指南以缓解此漏洞。
- 确保采取补救措施,以确保贵公司的做法不违反法律。未能识别和修补此软件的公司可能违反 FTC法案。
- 将此信息传递给向易受攻击的消费者销售产品或提供服务的第三方子公司。
12月17日,CISA发布了一项紧急指令,要求联邦民事部门和机构在12月23日星期四之前立即修补其面向互联网的系统,以解决Log4j漏洞。联邦机构还有五天时间(直到12月28日)报告受Log4Shell影响的产品,包括供应商和应用程序名称和版本,以及已采取的措施(例如更新、缓解、从代理网络中删除)以阻止利用Log4Shell的尝试。
CISA为Log4Shell漏洞提供了一个专门的页面,其中包含修补信息,同时发布了一个Log4j扫描程序来寻找潜在的易受攻击的Web服务。
Log4j方兴未艾
最初的漏洞——CVE-2021-44228——于12月9日被发现,并在数小时内受到攻击。截至12月15日,已有超过180万次攻击,针对一半的公司网络,使用至少70个不同的恶意软件系列,以利用三个漏洞:
1. Log4Shell远程代码执行(RCE)漏洞引发了更严重的突变,并导致……
2. Apache初始补丁中存在拒绝服务(DoS)的可能性。另外,还有……
3. 第三个漏洞,一个类似于Log4Shell的DoS漏洞,它也影响了日志库。它的不同之处在于它涉及Context Map查找,而不是对CVE-2021-44228中涉及的LDAP服务器的Java命名和目录接口(JNDI)查找:允许攻击者执行执行Log4Shell漏洞中返回的任何代码的查找。
至此,Conti勒索软件团伙已经拥有完整的攻击链数周了。
在周一的更新中,微软表示12月底没有任何缓解:该公司观察到某国家资助的网络犯罪攻击者在月底之前一直在探测系统的Log4Shell漏洞。微软安全研究人员警告说:“微软观察到攻击者使用许多相同的清单技术来定位目标。已经观察到一些狡猾的对手(如民族国家行为者)正在利用这些漏洞。扩大利用这些漏洞的可能性很大。”
研究人员说:“在12月的最后几周,漏洞利用的尝试一直在继续。我们观察到许多攻击者在他们现有的恶意软件工具包和策略中添加了对这些漏洞的利用,从硬币矿工到手动键盘攻击。”
查找Log4j
响应Log4j漏洞最具挑战性的方面之一就是简单地识别使用Log4j的组织中的设备。
“由于它是一个跨平台、广泛使用的软件库,它的部署位置和方式有着惊人的多样性:它可以是一个自行安装的应用程序包,与另一个应用程序包捆绑在一起,作为磁盘上的另一个文件,或者嵌入到另一个应用程序中。”Sevco Security的联合创始人兼首席执行官JJ Guy周三告诉Threatpost。
他补充说:“更糟糕的是,它被用于从云管理服务到服务器应用程序,甚至是固定功能的嵌入式设备的所有领域。连接互联网的toaster很可能容易受到Log4Shell的攻击。”
Guy说:“我们现在正处于分流阶段,在这一阶段,如系统管理或软件管理工具等基本工具可以提供初步分类。”
一个问题:还有哪些设备需要分类?
Guy说:“对于董事会、首席执行官、首席信息官或首席信息安全官等组织领导者来说,要对这些分类结果充满信心,他们不仅需要报告已分类的机器,还要报告有多少机器正在等待分类。”“报告‘待分类’统计数据需要完整的资产清单,包括哪些机器已成功分类。”
他称这是每个组织的应对措施中的“一个更大的隐藏挑战”,因为很少有企业拥有全面的资产清单,“尽管几十年来它一直是每个安全合规计划的首要要求。”
本文翻译自:https://threatpost.com/ftc-pursue-companies-log4j/177368/如若转载,请注明原文地址。