12月22日，美國國土安全部(DHS)部長亞歷杭德羅·N·馬約卡斯 (Alejandro N. Mayorkas)發(fā)推文表示，為了應(yīng)對最近發(fā)現(xiàn)的 log4j 漏洞，部門正在擴(kuò)大Hack DHS漏洞賞金計劃的范圍，包括額外的激勵措施，以發(fā)現(xiàn)和修補系統(tǒng)中與log4j有關(guān)的漏洞。

[[441776]]

上周，國土安全部推出了Hack DHS漏洞賞金計劃，允許經(jīng)過審查的網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)和報告外部 DHS 系統(tǒng)中的漏洞，每個報告的錯誤可獲得高達(dá) 5,000 美元的獎勵。

這一計劃也允許經(jīng)過審查的黑客參與，他們需要披露所發(fā)現(xiàn)的漏洞以及有關(guān)漏洞的詳細(xì)信息、攻擊者如何利用它以及如何使用它來訪問來自 DHS 系統(tǒng)的信息。

DHS 會在48 小時內(nèi)驗證所有報告的安全漏洞，并在15天或更長時間內(nèi)修復(fù)，這具體取決于漏洞的復(fù)雜性。

此次Hack DHS的擴(kuò)大計劃源自上周五由美國網(wǎng)絡(luò)安全和基礎(chǔ)結(jié)構(gòu)安全局(CISA)發(fā)出的緊急指令，該指令命令聯(lián)邦民事行政部門機(jī)構(gòu)在12月23日之前修補被積極利用的Log4Shell漏洞。

CISA 為 Log4Shell 缺陷提供了一個 專門頁面，其中包含供應(yīng)商和受影響組織的補丁信息，并發(fā)布了一個 Log4j 掃描程序來查找易受攻擊的應(yīng)用程序。

除此以外，CISA 還與世界各地的網(wǎng)絡(luò)安全機(jī)構(gòu)和其他美國聯(lián)邦機(jī)構(gòu)一起發(fā)布了一份聯(lián)合咨詢報告，其中包含解決 CVE-2021-44228、CVE-2021-45046 和 CVE-2021-45105 Log4j 安全漏洞的緩解指南。

參考來源：https://www.bleepingcomputer.com/news/security/hack-dhs-bug-bounty-program-expands-to-log4j-security-flaws/