聯邦貿易委員會(FTC)周二警告稱，將集結其法律力量追究未能保護消費者數據免受Log4j漏洞風險的公司和供應商。

警告中寫道：“FTC打算利用其全部法律權力追究未能采取合理措施保護消費者數據免遭Log4j或類似已知漏洞的公司。”

聯邦貿易委員會表示，那些將消費者數據泄露、未及時修補漏洞從而為漏洞利用打開大門，由此可能導致的“個人信息丟失或泄露、經濟損失和其他不可逆轉的傷害”的公司，正面臨著巨額罰款等嚴重的法律后果。

它特別提到了聯邦貿易委員會法案 (The FTC Act)和Gramm-Leach-Bliley法案。FTC法案是該委員會的主要法規，其中針對損害消費者的行為規定了金錢補償和其他救濟。Gramm-Leach-Bliley要求金融機構保護敏感數據。

“至關重要的是，依賴Log4j的公司及其供應商現在就采取行動，以減少對消費者造成傷害的可能性，以免受FTC的起訴風險，”美國聯邦貿易委員會敦促道。

美國聯邦貿易委員會的警告中提到了對Equifax的訴訟，Equifax同意支付7億美元已了結美國聯邦貿易委員會、消費者金融保護局和所有50個州因臭名昭著的2017年數據泄露而采取的行動。

根據美國聯邦貿易委員會，由于Equifax未能修補已知漏洞，“不可逆轉地使得1.47億消費者的個人信息遭到暴露”。它說，如果您的公司因Log4Shell或任何類似的已知漏洞而無法保護消費者數據免受暴露，預計會有更多相同的情況發生。

美國聯邦貿易委員會建議企業遵從網絡安全和基礎設施安全局(CISA)的指導，以檢查他們是否使用Apache的Log4j日志庫，該庫被稱為Log4Shell漏洞集群的心臟。

CISA建議，發現他們正在使用Log4j的公司應該執行以下操作：

•  將您的Log4j軟件包更新到最新版本。
• 請參閱CISA指南以緩解此漏洞。
•  確保采取補救措施，以確保貴公司的做法不違反法律。未能識別和修補此軟件的公司可能違反 FTC法案。
•  將此信息傳遞給向易受攻擊的消費者銷售產品或提供服務的第三方子公司。

12月17日，CISA發布了一項緊急指令，要求聯邦民事部門和機構在12月23日星期四之前立即修補其面向互聯網的系統，以解決Log4j漏洞。聯邦機構還有五天時間(直到12月28日)報告受Log4Shell影響的產品，包括供應商和應用程序名稱和版本，以及已采取的措施(例如更新、緩解、從代理網絡中刪除)以阻止利用Log4Shell的嘗試。

CISA為Log4Shell漏洞提供了一個專門的頁面，其中包含修補信息，同時發布了一個Log4j掃描程序來尋找潛在的易受攻擊的Web服務。

Log4j方興未艾

最初的漏洞——CVE-2021-44228——于12月9日被發現，并在數小時內受到攻擊。截至12月15日，已有超過180萬次攻擊，針對一半的公司網絡，使用至少70個不同的惡意軟件系列，以利用三個漏洞：

1. Log4Shell遠程代碼執行(RCE)漏洞引發了更嚴重的突變，并導致……

2. Apache初始補丁中存在拒絕服務(DoS)的可能性。另外，還有……

3. 第三個漏洞，一個類似于Log4Shell的DoS漏洞，它也影響了日志庫。它的不同之處在于它涉及Context Map查找，而不是對CVE-2021-44228中涉及的LDAP服務器的Java命名和目錄接口(JNDI)查找：允許攻擊者執行執行Log4Shell漏洞中返回的任何代碼的查找。

至此，Conti勒索軟件團伙已經擁有完整的攻擊鏈數周了。

在周一的更新中，微軟表示12月底沒有任何緩解：該公司觀察到某國家資助的網絡犯罪攻擊者在月底之前一直在探測系統的Log4Shell漏洞。微軟安全研究人員警告說：“微軟觀察到攻擊者使用許多相同的清單技術來定位目標。已經觀察到一些狡猾的對手(如民族國家行為者)正在利用這些漏洞。擴大利用這些漏洞的可能性很大。”

研究人員說：“在12月的最后幾周，漏洞利用的嘗試一直在繼續。我們觀察到許多攻擊者在他們現有的惡意軟件工具包和策略中添加了對這些漏洞的利用，從硬幣礦工到手動鍵盤攻擊。”

查找Log4j

響應Log4j漏洞最具挑戰性的方面之一就是簡單地識別使用Log4j的組織中的設備。

“由于它是一個跨平臺、廣泛使用的軟件庫，它的部署位置和方式有著驚人的多樣性：它可以是一個自行安裝的應用程序包，與另一個應用程序包捆綁在一起，作為磁盤上的另一個文件，或者嵌入到另一個應用程序中。”Sevco Security的聯合創始人兼首席執行官JJ Guy周三告訴Threatpost。

他補充說：“更糟糕的是，它被用于從云管理服務到服務器應用程序，甚至是固定功能的嵌入式設備的所有領域。連接互聯網的toaster很可能容易受到Log4Shell的攻擊。”

Guy說：“我們現在正處于分流階段，在這一階段，如系統管理或軟件管理工具等基本工具可以提供初步分類。”

一個問題：還有哪些設備需要分類?

Guy說：“對于董事會、首席執行官、首席信息官或首席信息安全官等組織領導者來說，要對這些分類結果充滿信心，他們不僅需要報告已分類的機器，還要報告有多少機器正在等待分類。”“報告‘待分類’統計數據需要完整的資產清單，包括哪些機器已成功分類。”

他稱這是每個組織的應對措施中的“一個更大的隱藏挑戰”，因為很少有企業擁有全面的資產清單，“盡管幾十年來它一直是每個安全合規計劃的首要要求。”

本文翻譯自：https://threatpost.com/ftc-pursue-companies-log4j/177368/如若轉載，請注明原文地址。