ABD Federal Ticaret Komisyonu (FTC) bugün, müşterilerinin verilerini devam eden Log4J saldırılarına karşı koruyamayan herhangi bir ABD şirketinin peşine düşeceği konusunda uyardı.
ABD devlet kurumu, “FTC, gelecekte Log4j veya benzer bilinen güvenlik açıklarının bir sonucu olarak tüketici verilerini maruz kalmaktan korumak için makul adımları atmayan şirketleri takip etmek için tüm yasal yetkisini kullanmayı planlıyor.” söz konusu.
“Bilinen yazılım güvenlik açıklarını azaltmak için makul adımlar atma görevi, diğerlerinin yanı sıra Federal Ticaret Komisyonu Yasası ve Gramm Leach Bliley Yasası dahil olmak üzere yasaları içerir.
“Tüketicilere zarar verme olasılığını azaltmak ve FTC yasal işlemden kaçınmak için Log4j’ye güvenen şirketlerin ve satıcılarının şimdi harekete geçmeleri çok önemlidir.”
FTC, şirketlere CISA’nın Log4j kusurlarını azaltma konusundaki rehberliğini takip etmelerini tavsiye eder ve:
- Log4j yazılım paketinizi burada bulunan en güncel sürüme güncelleyin: https://logging.apache.org/log4j/2.x/security.html(bağlantı haricidir)
- danışın CISA kılavuzu Bu güvenlik açığını azaltmak için.
- Şirketinizin uygulamalarının yasaları ihlal etmemesini sağlamak için düzeltici adımların atıldığından emin olun. Bu yazılımın örneklerinin tanımlanmaması ve yamalanmaması ihlale neden olabilir. FTC Yasası.
- Bu bilgileri, savunmasız olabilecek tüketicilere ürün veya hizmet satan ilgili üçüncü taraf yan kuruluşlara dağıtın.
Aralık ayının başından beri aktif kullanım altında
uyarı aşağıdaki gibidir CISA tarafından yayınlanan bir acil durum direktifi ABD Federal Sivil Yürütme Şubesi ajanslarına aktif olarak sömürülenleri düzeltmelerini emretti. Log4Shell hatası 23 Aralık’a kadar.
Federal kurumlara, uygulama ve satıcı adları, uygulamaların sürümleri ve saldırı girişimlerini engellemek için alınan önlemler de dahil olmak üzere ortamlarında Log4Shell’den etkilenen ürünleri bildirmeleri için 28 Aralık’a kadar beş gün daha verildi.
CISA sağlar özel sayfa Yama bilgileri içeren Log4Shell kusurları için ve bir Güvenlik açığı bulunan Java tabanlı uygulamaları bulmak için Log4j tarayıcı.
Five Eyes siber güvenlik kurumları ve diğer ABD federal kurumları ile birlikte CISA ayrıca bir ortak danışma CVE-2021-44228, CVE-2021-45046 ve CVE-2021-45105 Log4j güvenlik kusurlarının ele alınmasına ilişkin hafifletme önerileriyle.
“Microsoft, saldırganların hedefleri bulmak için aynı envanter tekniklerinin çoğunu kullandıklarını gözlemledi. Gelişmiş düşmanlar (ulus devlet aktörleri gibi) ve emtia saldırganlarının benzer şekilde bu güvenlik açıklarından yararlandığı gözlemlendi. Güvenlik açıklarının genişletilmiş kullanımı için yüksek potansiyel var, ” Microsoft güvenlik araştırmacıları Pazartesi günü uyarıldı.
“Sömürü girişimleri ve testleri Aralık ayının son haftalarında yüksek kaldı. Madeni para madencilerinden uygulamalı klavye saldırılarına kadar birçok mevcut saldırganın mevcut kötü amaçlı yazılım kitlerine ve taktiklerine bu güvenlik açıklarından yararlanmalar eklediğini gözlemledik.”