600cc全讯白菜网

联邦商业委员会(FTC)周二警告称，将联接其法律力量精致未能保护销耗者数据免受Log4j舛误风险的公司和供应商。

警告中写谈：“FTC绸缪诈欺其全部法律权益精致未能罗致合理递次保护销耗者数据免遭Log4j或访佛已知舛误的公司。”

联邦商业委员会暗意，那些将销耗者数据线路、未实时修补舛误从而为舛误诈欺翻开大门，由此可能导致的“个东谈主信息丢失或线路、经济损结怨其他不成逆转的伤害”的公司，正靠近着无数罚金等严重的法律驱散。

它零星提到了联邦商业委员会法案 (The FTC Act)和Gramm-Leach-Bliley法案。FTC法案是该委员会的主要递次，其中针对毁伤销耗者的步履司法了钞票赔偿和其他馈遗。Gramm-Leach-Bliley条件金融机构保护明锐数据。

“至关要紧的是，依赖Log4j的公司尽头供应商当今就罗致行为，以减少抵销耗者形成伤害的可能性，以免受FTC的告状风险，”好意思国联邦商业委员会敦促谈。

好意思国联邦商业委员会的警告中提到了对Equifax的诉讼，Equifax高兴支付7亿好意思元已了结好意思国联邦商业委员会、销耗者金融保护局和通盘50个州因污名昭著的2017年数据线路而罗致的行为。

把柄好意思国联邦商业委员会，由于Equifax未能修补已知舛误，“不成逆转地使得1.47亿销耗者的个东谈主信息遭到披露”。它说，若是您的公司因Log4Shell或任何访佛的已知舛误而无法保护销耗者数据免受披露，预测会有更多换取的情况发生。

好意思国联邦商业委员会冷落企业笃信相聚安全和基础设施安全局(CISA)的教唆，以检查他们是否使用Apache的Log4j日记库，该库被称为Log4Shell舛误集群的腹黑。

CISA冷落600cc全讯白菜网，发现他们正在使用Log4j的公司应该实际以下操作：

 600cc全讯白菜网将您的Log4j软件包更新到最新版块。 请参阅CISA指南以缓解此舛误。  确保罗致挽救递次，以确保贵公司的作念法不违背法律。未能识别和修补此软件的公司可能违背 FTC法案。  将此信息传递给向易受攻击的销耗者销售居品或提供作事的第三方子公司。

12月17日，CISA发布了一项挫折指示，条件联邦民事部门和机构在12月23日星期四之前立即修补其面向互联网的系统，以搞定Log4j舛误。联邦机构还有五天时辰(直到12月28日)敷陈受Log4Shell影响的居品，包括供应商和应用要领称号和版块，以及已罗致的递次(举例更新、缓解、从代理汇注集删除)以谢却诈欺Log4Shell的尝试。

CISA为Log4Shell舛误提供了一个有利的页面，其中包含修补信息，同期发布了一个Log4j扫描要领来寻找潜在的易受攻击的Web作事。

Log4j方兴未已

率先的舛误——CVE-2021-44228——于12月9日被发现，并在数小时内受到攻击。禁止12月15日，已有跳动180万次攻击，最新送彩金500的网站大白菜资讯针对一半的公司相聚，使用至少70个不同的坏心软件系列，以诈欺三个舛误：

1. Log4Shell费事代码实际(RCE)舛误激励了更严重的突变，并导致……

2. Apache运转补丁中存在拒却作事(DoS)的可能性。另外，还有……

3. 第三个舛误，一个访佛于Log4Shell的DoS舛误，它也影响了日记库。它的不同之处在于它触及Context Map查找，而不是对CVE-2021-44228中触及的LDAP作事器的Java定名和目次接口(JNDI)查找：允许攻击者实际实际Log4Shell舛误中复返的任何代码的查找。

至此，Conti阻止软件团伙仍是领有完满的攻击链数周了。

在周一的更新中，微软暗意12月底莫得任何缓解：该公司不雅察到某国度资助的相聚罪犯攻击者在月底之前一直在探伤系统的Log4Shell舛误。微软安全经营东谈主员警告说：“微软不雅察到攻击者使用很多换取的清单时刻来定位目标。仍是不雅察到一些奸猾的敌手(如民族国度步履者)正在诈欺这些舛误。扩大诈欺这些舛误的可能性很大。”

经营东谈主员说：“在12月的终末几周，舛误诈欺的尝试一直在络续。咱们不雅察到很多攻击者在他们现存的坏心软件器具包和战术中添加了对这些舛误的诈欺，从硬币矿工到手动键盘攻击。”

查找Log4j

反映Log4j舛误最具挑战性的方面之一即是肤浅地识别使用Log4j的组织中的缔造。

“由于它是一个跨平台、世俗使用的软件库，它的部署位置和神气有着惊东谈主的各样性：它不错是一个自行装置的应用要领包，与另一个应用要领包紧缚在一齐，行为磁盘上的另一个文献，大略镶嵌到另一个应用要领中。”Sevco Security的斡旋首创东谈主兼首席实际官JJ Guy周三告诉Threatpost。

他补充说：“更恶运的是，它被用于从云经管作事到作事器应用要领，致使是固定功能的镶嵌式缔造的通盘限度。不时互联网的toaster很可能容易受到Log4Shell的攻击。”

Guy说：“咱们当今正处于分流阶段，在这一阶段，如系统经管或软件经管器具等基本器具不错提供初步分类。”

一个问题：还有哪些缔造需要分类?

Guy说：“关于董事会、首席实际官、首席信息官或首席信息安全官等组织引诱者来说，要对这些分类驱散充满信心，他们不仅需要敷陈已分类的机器，还要敷陈有些许机器正在恭候分类。”“敷陈‘待分类’统计数据需要完满的资产清单，包括哪些机器已到手分类。”

他称这是每个组织的应酬递次中的“一个更大的苦衷挑战”，因为很少有企业领有全面的资产清单，“尽管几十年来它一直是每个安全合规计较的首要条件。”

本文翻译自：https://threatpost.com/ftc-pursue-companies-log4j/177368/如若转载，请注明原文地址。

 

• 白菜
• 600cc
• 全讯
• amp
• rdquo