聯(lián)邦貿(mào)易委員會(huì)(FTC)周二警告稱，將集結(jié)其法律力量追究未能保護(hù)消費(fèi)者數(shù)據(jù)免受Log4j漏洞風(fēng)險(xiǎn)的公司和供應(yīng)商。

警告中寫道：“FTC打算利用其全部法律權(quán)力追究未能采取合理措施保護(hù)消費(fèi)者數(shù)據(jù)免遭Log4j或類似已知漏洞的公司。”

聯(lián)邦貿(mào)易委員會(huì)表示，那些將消費(fèi)者數(shù)據(jù)泄露、未及時(shí)修補(bǔ)漏洞從而為漏洞利用打開大門，由此可能導(dǎo)致的“個(gè)人信息丟失或泄露、經(jīng)濟(jì)損失和其他不可逆轉(zhuǎn)的傷害”的公司，正面臨著巨額罰款等嚴(yán)重的法律后果。

它特別提到了聯(lián)邦貿(mào)易委員會(huì)法案 (The FTC Act)和Gramm-Leach-Bliley法案。FTC法案是該委員會(huì)的主要法規(guī)，其中針對(duì)損害消費(fèi)者的行為規(guī)定了金錢補(bǔ)償和其他救濟(jì)。Gramm-Leach-Bliley要求金融機(jī)構(gòu)保護(hù)敏感數(shù)據(jù)。

“至關(guān)重要的是，依賴Log4j的公司及其供應(yīng)商現(xiàn)在就采取行動(dòng)，以減少對(duì)消費(fèi)者造成傷害的可能性，以免受FTC的起訴風(fēng)險(xiǎn)，”美國(guó)聯(lián)邦貿(mào)易委員會(huì)敦促道。

美國(guó)聯(lián)邦貿(mào)易委員會(huì)的警告中提到了對(duì)Equifax的訴訟，Equifax同意支付7億美元已了結(jié)美國(guó)聯(lián)邦貿(mào)易委員會(huì)、消費(fèi)者金融保護(hù)局和所有50個(gè)州因臭名昭著的2017年數(shù)據(jù)泄露而采取的行動(dòng)。

根據(jù)美國(guó)聯(lián)邦貿(mào)易委員會(huì)，由于Equifax未能修補(bǔ)已知漏洞，“不可逆轉(zhuǎn)地使得1.47億消費(fèi)者的個(gè)人信息遭到暴露”。它說(shuō)，如果您的公司因Log4Shell或任何類似的已知漏洞而無(wú)法保護(hù)消費(fèi)者數(shù)據(jù)免受暴露，預(yù)計(jì)會(huì)有更多相同的情況發(fā)生。

美國(guó)聯(lián)邦貿(mào)易委員會(huì)建議企業(yè)遵從網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的指導(dǎo)，以檢查他們是否使用Apache的Log4j日志庫(kù)，該庫(kù)被稱為L(zhǎng)og4Shell漏洞集群的心臟。

CISA建議，發(fā)現(xiàn)他們正在使用Log4j的公司應(yīng)該執(zhí)行以下操作：

•  將您的Log4j軟件包更新到最新版本。
• 請(qǐng)參閱CISA指南以緩解此漏洞。
•  確保采取補(bǔ)救措施，以確保貴公司的做法不違反法律。未能識(shí)別和修補(bǔ)此軟件的公司可能違反 FTC法案。
•  將此信息傳遞給向易受攻擊的消費(fèi)者銷售產(chǎn)品或提供服務(wù)的第三方子公司。

12月17日，CISA發(fā)布了一項(xiàng)緊急指令，要求聯(lián)邦民事部門和機(jī)構(gòu)在12月23日星期四之前立即修補(bǔ)其面向互聯(lián)網(wǎng)的系統(tǒng)，以解決Log4j漏洞。聯(lián)邦機(jī)構(gòu)還有五天時(shí)間(直到12月28日)報(bào)告受Log4Shell影響的產(chǎn)品，包括供應(yīng)商和應(yīng)用程序名稱和版本，以及已采取的措施(例如更新、緩解、從代理網(wǎng)絡(luò)中刪除)以阻止利用Log4Shell的嘗試。

CISA為L(zhǎng)og4Shell漏洞提供了一個(gè)專門的頁(yè)面，其中包含修補(bǔ)信息，同時(shí)發(fā)布了一個(gè)Log4j掃描程序來(lái)尋找潛在的易受攻擊的Web服務(wù)。

Log4j方興未艾

最初的漏洞——CVE-2021-44228——于12月9日被發(fā)現(xiàn)，并在數(shù)小時(shí)內(nèi)受到攻擊。截至12月15日，已有超過180萬(wàn)次攻擊，針對(duì)一半的公司網(wǎng)絡(luò)，使用至少70個(gè)不同的惡意軟件系列，以利用三個(gè)漏洞：

1. Log4Shell遠(yuǎn)程代碼執(zhí)行(RCE)漏洞引發(fā)了更嚴(yán)重的突變，并導(dǎo)致……

2. Apache初始補(bǔ)丁中存在拒絕服務(wù)(DoS)的可能性。另外，還有……

3. 第三個(gè)漏洞，一個(gè)類似于Log4Shell的DoS漏洞，它也影響了日志庫(kù)。它的不同之處在于它涉及Context Map查找，而不是對(duì)CVE-2021-44228中涉及的LDAP服務(wù)器的Java命名和目錄接口(JNDI)查找：允許攻擊者執(zhí)行執(zhí)行Log4Shell漏洞中返回的任何代碼的查找。

至此，Conti勒索軟件團(tuán)伙已經(jīng)擁有完整的攻擊鏈數(shù)周了。

在周一的更新中，微軟表示12月底沒有任何緩解：該公司觀察到某國(guó)家資助的網(wǎng)絡(luò)犯罪攻擊者在月底之前一直在探測(cè)系統(tǒng)的Log4Shell漏洞。微軟安全研究人員警告說(shuō)：“微軟觀察到攻擊者使用許多相同的清單技術(shù)來(lái)定位目標(biāo)。已經(jīng)觀察到一些狡猾的對(duì)手(如民族國(guó)家行為者)正在利用這些漏洞。擴(kuò)大利用這些漏洞的可能性很大。”

研究人員說(shuō)：“在12月的最后幾周，漏洞利用的嘗試一直在繼續(xù)。我們觀察到許多攻擊者在他們現(xiàn)有的惡意軟件工具包和策略中添加了對(duì)這些漏洞的利用，從硬幣礦工到手動(dòng)鍵盤攻擊。”

查找Log4j

響應(yīng)Log4j漏洞最具挑戰(zhàn)性的方面之一就是簡(jiǎn)單地識(shí)別使用Log4j的組織中的設(shè)備。

“由于它是一個(gè)跨平臺(tái)、廣泛使用的軟件庫(kù)，它的部署位置和方式有著驚人的多樣性：它可以是一個(gè)自行安裝的應(yīng)用程序包，與另一個(gè)應(yīng)用程序包捆綁在一起，作為磁盤上的另一個(gè)文件，或者嵌入到另一個(gè)應(yīng)用程序中。”Sevco Security的聯(lián)合創(chuàng)始人兼首席執(zhí)行官JJ Guy周三告訴Threatpost。

他補(bǔ)充說(shuō)：“更糟糕的是，它被用于從云管理服務(wù)到服務(wù)器應(yīng)用程序，甚至是固定功能的嵌入式設(shè)備的所有領(lǐng)域。連接互聯(lián)網(wǎng)的toaster很可能容易受到Log4Shell的攻擊。”

Guy說(shuō)：“我們現(xiàn)在正處于分流階段，在這一階段，如系統(tǒng)管理或軟件管理工具等基本工具可以提供初步分類。”

一個(gè)問題：還有哪些設(shè)備需要分類?

Guy說(shuō)：“對(duì)于董事會(huì)、首席執(zhí)行官、首席信息官或首席信息安全官等組織領(lǐng)導(dǎo)者來(lái)說(shuō)，要對(duì)這些分類結(jié)果充滿信心，他們不僅需要報(bào)告已分類的機(jī)器，還要報(bào)告有多少機(jī)器正在等待分類。”“報(bào)告‘待分類’統(tǒng)計(jì)數(shù)據(jù)需要完整的資產(chǎn)清單，包括哪些機(jī)器已成功分類。”

他稱這是每個(gè)組織的應(yīng)對(duì)措施中的“一個(gè)更大的隱藏挑戰(zhàn)”，因?yàn)楹苌儆衅髽I(yè)擁有全面的資產(chǎn)清單，“盡管幾十年來(lái)它一直是每個(gè)安全合規(guī)計(jì)劃的首要要求。”

本文翻譯自：https://threatpost.com/ftc-pursue-companies-log4j/177368/如若轉(zhuǎn)載，請(qǐng)注明原文地址。