联邦贸易委员会(FTC)周二警告称,将集结其法律法规能量追究无法维护客户数据信息免受Log4j系统漏洞风险性的公司和经销商。
警告中写道:“FTC准备运用其所有法律法规权利追究无法采用有效对策维护客户数据信息免受Log4j或相近已经知道系统漏洞的企业。”
联邦贸易委员会表明,这些将顾客数据泄漏、未立即修复系统漏洞进而为漏洞检测开启大门口,从而很有可能致使的“私人信息遗失或泄漏、财产损失和别的不可避免的损害”的企业,正遭遇着高额处罚等明显的法律法规不良影响。
它尤其提及了联邦贸易委员会法令 (The FTC Act)和Gramm-Leach-Bliley法案。FTC法令是该联合会的关键政策法规,在其中对于危害客户的方式要求了钱财赔偿和别的救助。Gramm-Leach-Bliley规定金融企业维护隐秘数据。
“尤为重要的是,依靠Log4j的企业以及经销商如今就付诸行动,以减小对顾客导致损害的概率,以免受FTC的提起诉讼风险性,”英国联邦贸易委员会督促道。
英国联邦贸易委员会的警告中提及了对Equifax的起诉,Equifax允许付款7亿美金已了断英国联邦贸易委员会、顾客金融业保护局和全部50个州因灭绝人性的2017年数据泄漏而采用的行为。
依据英国联邦贸易委员会,因为Equifax无法修复已经知道系统漏洞,“不可避免地促使1.47亿顾客的私人信息遭受曝露”。它说,假如您的企业因Log4Shell或一切相近的己知系统漏洞而没法维护客户数据信息免受曝露,预估会出现大量一样的状况产生。
英国联邦贸易委员会提议公司遵循网络信息安全和基础设施建设安全局(CISA)的具体指导,以查验它们是不是应用Apache的Log4j日志库,该库被称作Log4Shell系统漏洞群集的心血管。
CISA提议,发觉她们已经应用Log4j的企业应当实行下列实际操作:
- 将您的Log4j程序包升级到最新版。
- 客户程序CISA手册以减轻此系统漏洞。
- 保证采用防范措施,以保证贵司的作法不触犯法律法规。无法鉴别和修复此系统的公司很有可能违背 FTC法令。
- 将此信息传递给向易受攻击的顾客销售商品或供应服務的第三方分公司。
12月17日,CISA公布了一项应急命令,规定联邦政府民事法律单位和机构在12月23日星期四以前马上修复其朝向互联网技术的系统软件,以处理Log4j系统漏洞。联邦政府组织也有五天時间(直到12月28日)汇报受Log4Shell危害的商品,包含经销商和应用软件名字和版本号,及其已实行的对策(例如升级、减轻、从代理网络中删掉)以阻拦运用Log4Shell的试着。
CISA为Log4Shell系统漏洞给予了一个专业的网页页面,在其中包括修复信息内容,与此同时公布了一个Log4j扫描仪程序流程来找寻潜在性的易受攻击的Web服务。
Log4j大势所趋
最开始的系统漏洞——CVE-2021-44228——于12月9日被发觉,并在数钟头内遭到进攻。截止到12月15日,已经有超出180千次进攻,对于一半的局域网络,应用最少70个不一样的恶意程序系列产品,以运用三个系统漏洞:
1. Log4Shell远程控制执行命令(RCE)系统漏洞引起了更明显的基因突变,并造成……
2. Apache原始补丁包中存有拒绝服务攻击(DoS)的概率。此外,也有……
3. 第三个系统漏洞,一个类似Log4Shell的DoS系统漏洞,它也影响到了日志库。它的不同点取决于它涉及到Context Map搜索,而不是对CVE-2021-44228中涵盖的LDAP网络服务器的Java取名和文件目录插口(JNDI)搜索:容许网络攻击实行执行Log4Shell系统漏洞中返还的所有编码的搜索。
至此,Conti勒索病毒犯罪团伙早已具有完全的攻击链几个星期了。
在周一的刷新中,微软公司表明12月底没有减轻:该企业观查到某我国支助的网络诈骗网络攻击在月末以前一直在探测器的Log4Shell系统漏洞。微软公司安全性科研工作人员警告说:“微软公司观查到网络攻击应用很多同样的明细技术性来精准定位总体目标。早已观查到一些奸诈的敌人(如专制制度个人行为者)已经运用这种系统漏洞。扩张运用这种系统漏洞的可能非常大。”
科学研究工作人员说:“在12月的最终几个星期,漏洞检测的试着一直在再次。大家留意到很多网络攻击在她们原有的恶意程序工具箱和饮料中增加了对这种系统漏洞的运用,从钱币挖矿到手动式电脑键盘进攻。”
搜索Log4j
回应Log4j系统漏洞极具趣味性的领域之一便是简洁地鉴别应用Log4j的结构中的机器设备。
“因为它是一个混合开发、普遍采用的软件库,它的构建部位和方法拥有令人震惊的多元性:它可以是一个自主组装的运用软件包,与另一个运用软件包捆缚在一起,做为硬盘上的另一个文档,或是插入到另一个应用软件中。”Sevco Security的创始人兼CEOJJ Guy周三告知Threatpost。
他填补说:“更糟心的是,它被用来从云管理服务项目到服务器应用程序,乃至是固定不动作用的内嵌式机器设备的全部行业。联接网络的toaster很可能非常容易遭受Log4Shell的进攻。”
Guy说:“大家如今正处在分离环节,在这里一环节,如管理信息系统或手机软件可视化工具等基本上专用工具可以给予基本归类。”
一个问题:还有哪些机器设备必须归类?
Guy说:“针对股东会、CEO、首席信息官或总裁网络信息安全官等机构管理者而言,要对这种归类結果满怀信心,她们不但必须汇报已归类的设备,还需要汇报有多少设备已经等候归类。”“汇报‘待归类’数据统计必须完善的财产明细,包含什么设备已取得成功归类。”
他称这也是每一个机构的应对措施中的“一个更高的掩藏挑戰”,由于非常少有公司有着全方位的财产明细,“虽然几十年来它一直是各个安全性合规管理方案的关键规定。”
文中翻譯自:https://threatpost.com/ftc-pursue-companies-log4j/177368/倘若转截,请标明全文详细地址。