聯(lián)邦貿(mào)易委員會(FTC)周二警告稱，將集結(jié)其法律力量追究未能保護(hù)消費(fèi)者數(shù)據(jù)免受Log4j漏洞風(fēng)險的公司和供應(yīng)商。

警告中寫道：“FTC打算利用其全部法律權(quán)力追究未能采取合理措施保護(hù)消費(fèi)者數(shù)據(jù)免遭Log4j或類似已知漏洞的公司。”

聯(lián)邦貿(mào)易委員會表示，那些將消費(fèi)者數(shù)據(jù)泄露、未及時修補(bǔ)漏洞從而為漏洞利用打開大門，由此可能導(dǎo)致的“個人信息丟失或泄露、經(jīng)濟(jì)損失和其他不可逆轉(zhuǎn)的傷害”的公司，正面臨著巨額罰款等嚴(yán)重的法律后果。

它特別提到了聯(lián)邦貿(mào)易委員會法案 (The FTC Act)和Gramm-Leach-Bliley法案。FTC法案是該委員會的主要法規(guī)，其中針對損害消費(fèi)者的行為規(guī)定了金錢補(bǔ)償和其他救濟(jì)。Gramm-Leach-Bliley要求金融機(jī)構(gòu)保護(hù)敏感數(shù)據(jù)。

“至關(guān)重要的是，依賴Log4j的公司及其供應(yīng)商現(xiàn)在就采取行動，以減少對消費(fèi)者造成傷害的可能性，以免受FTC的起訴風(fēng)險，”美國聯(lián)邦貿(mào)易委員會敦促道。

美國聯(lián)邦貿(mào)易委員會的警告中提到了對Equifax的訴訟，Equifax同意支付7億美元已了結(jié)美國聯(lián)邦貿(mào)易委員會、消費(fèi)者金融保護(hù)局和所有50個州因臭名昭著的2017年數(shù)據(jù)泄露而采取的行動。

根據(jù)美國聯(lián)邦貿(mào)易委員會，由于Equifax未能修補(bǔ)已知漏洞，“不可逆轉(zhuǎn)地使得1.47億消費(fèi)者的個人信息遭到暴露”。它說，如果您的公司因Log4Shell或任何類似的已知漏洞而無法保護(hù)消費(fèi)者數(shù)據(jù)免受暴露，預(yù)計會有更多相同的情況發(fā)生。

美國聯(lián)邦貿(mào)易委員會建議企業(yè)遵從網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的指導(dǎo)，以檢查他們是否使用Apache的Log4j日志庫，該庫被稱為Log4Shell漏洞集群的心臟。

CISA建議，發(fā)現(xiàn)他們正在使用Log4j的公司應(yīng)該執(zhí)行以下操作：

•  將您的Log4j軟件包更新到最新版本。
• 請參閱CISA指南以緩解此漏洞。
•  確保采取補(bǔ)救措施，以確保貴公司的做法不違反法律。未能識別和修補(bǔ)此軟件的公司可能違反 FTC法案。
•  將此信息傳遞給向易受攻擊的消費(fèi)者銷售產(chǎn)品或提供服務(wù)的第三方子公司。

12月17日，CISA發(fā)布了一項緊急指令，要求聯(lián)邦民事部門和機(jī)構(gòu)在12月23日星期四之前立即修補(bǔ)其面向互聯(lián)網(wǎng)的系統(tǒng)，以解決Log4j漏洞。聯(lián)邦機(jī)構(gòu)還有五天時間(直到12月28日)報告受Log4Shell影響的產(chǎn)品，包括供應(yīng)商和應(yīng)用程序名稱和版本，以及已采取的措施(例如更新、緩解、從代理網(wǎng)絡(luò)中刪除)以阻止利用Log4Shell的嘗試。

CISA為Log4Shell漏洞提供了一個專門的頁面，其中包含修補(bǔ)信息，同時發(fā)布了一個Log4j掃描程序來尋找潛在的易受攻擊的Web服務(wù)。

Log4j方興未艾

最初的漏洞——CVE-2021-44228——于12月9日被發(fā)現(xiàn)，并在數(shù)小時內(nèi)受到攻擊。截至12月15日，已有超過180萬次攻擊，針對一半的公司網(wǎng)絡(luò)，使用至少70個不同的惡意軟件系列，以利用三個漏洞：

1. Log4Shell遠(yuǎn)程代碼執(zhí)行(RCE)漏洞引發(fā)了更嚴(yán)重的突變，并導(dǎo)致……

2. Apache初始補(bǔ)丁中存在拒絕服務(wù)(DoS)的可能性。另外，還有……

3. 第三個漏洞，一個類似于Log4Shell的DoS漏洞，它也影響了日志庫。它的不同之處在于它涉及Context Map查找，而不是對CVE-2021-44228中涉及的LDAP服務(wù)器的Java命名和目錄接口(JNDI)查找：允許攻擊者執(zhí)行執(zhí)行Log4Shell漏洞中返回的任何代碼的查找。

至此，Conti勒索軟件團(tuán)伙已經(jīng)擁有完整的攻擊鏈數(shù)周了。

在周一的更新中，微軟表示12月底沒有任何緩解：該公司觀察到某國家資助的網(wǎng)絡(luò)犯罪攻擊者在月底之前一直在探測系統(tǒng)的Log4Shell漏洞。微軟安全研究人員警告說：“微軟觀察到攻擊者使用許多相同的清單技術(shù)來定位目標(biāo)。已經(jīng)觀察到一些狡猾的對手(如民族國家行為者)正在利用這些漏洞。擴(kuò)大利用這些漏洞的可能性很大。”

研究人員說：“在12月的最后幾周，漏洞利用的嘗試一直在繼續(xù)。我們觀察到許多攻擊者在他們現(xiàn)有的惡意軟件工具包和策略中添加了對這些漏洞的利用，從硬幣礦工到手動鍵盤攻擊。”

查找Log4j

響應(yīng)Log4j漏洞最具挑戰(zhàn)性的方面之一就是簡單地識別使用Log4j的組織中的設(shè)備。

“由于它是一個跨平臺、廣泛使用的軟件庫，它的部署位置和方式有著驚人的多樣性：它可以是一個自行安裝的應(yīng)用程序包，與另一個應(yīng)用程序包捆綁在一起，作為磁盤上的另一個文件，或者嵌入到另一個應(yīng)用程序中。”Sevco Security的聯(lián)合創(chuàng)始人兼首席執(zhí)行官JJ Guy周三告訴Threatpost。

他補(bǔ)充說：“更糟糕的是，它被用于從云管理服務(wù)到服務(wù)器應(yīng)用程序，甚至是固定功能的嵌入式設(shè)備的所有領(lǐng)域。連接互聯(lián)網(wǎng)的toaster很可能容易受到Log4Shell的攻擊。”

Guy說：“我們現(xiàn)在正處于分流階段，在這一階段，如系統(tǒng)管理或軟件管理工具等基本工具可以提供初步分類。”

一個問題：還有哪些設(shè)備需要分類?

Guy說：“對于董事會、首席執(zhí)行官、首席信息官或首席信息安全官等組織領(lǐng)導(dǎo)者來說，要對這些分類結(jié)果充滿信心，他們不僅需要報告已分類的機(jī)器，還要報告有多少機(jī)器正在等待分類。”“報告‘待分類’統(tǒng)計數(shù)據(jù)需要完整的資產(chǎn)清單，包括哪些機(jī)器已成功分類。”

他稱這是每個組織的應(yīng)對措施中的“一個更大的隱藏挑戰(zhàn)”，因為很少有企業(yè)擁有全面的資產(chǎn)清單，“盡管幾十年來它一直是每個安全合規(guī)計劃的首要要求。”

本文翻譯自：https://threatpost.com/ftc-pursue-companies-log4j/177368/如若轉(zhuǎn)載，請注明原文地址。