令全球企业闻风丧胆的Log4j2漏洞(Log4Shell)危机仍在持续,由于此前的新闻报道主要聚焦关键基础设施和企业级用户,人们忘记了无处不在的Log4j2漏洞对于消费者来说也是一个“不定时炸弹“。在经历最初的慌乱后,安全专家们担心的“C端风险“,也就是该超级漏洞对普通消费者的威胁,也开始受到重视。
美国联邦贸易委员会(FTC)今天警告说,它将惩罚任何未能保护其客户数据免受持续Log4J攻击的美国公司。(编者:例如你的WiFi路由器或NAS存在Log4j2漏洞而厂商没有及时发布补丁)
FTC表示:“FTC打算利用其全部法律权力追究未能采取合理措施保护消费者数据免遭Log4j或类似已知漏洞暴露的公司。”
“采取合理措施减轻已知软件漏洞的责任涉及的法律包括《联邦贸易委员会法》和《格拉姆·里奇·布莱利法》。”
“至关重要的是,依赖Log4j的公司及其供应商立即采取行动,以减少对消费者造成伤害的可能性,并避免FTC采取法律行动。”
该警告是在CISA发布紧急指令之后发出的,该指令命令美国联邦民事行政部门机构在12月23日之前修补被积极利用的Log4Shell漏洞。
CISA还发布了一个Log4Shell漏洞补丁专用网页,并发布了一个Log4j扫描器(https://github.com/fullhunt/log4j-scan)来查找易受攻击的Java应用程序。
CISA还与五眼网络安全机构和其他美国联邦机构一起发布了一份联合咨询报告,其中包含缓解CVE-2021-44228、CVE-2021-45046和CVE-2021-45105Log4j安全漏洞的建议。
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。