US Federal Trade Commission (FTC) har skickat en skarp varning till företag som innehar konsumentdata i ljuset av de senaste attackerna som utnyttjar en sårbarhet i Log4J, ett java-loggningsramverk som används av miljontals enheter och system över hela världen.
Upptäcktes för bara några veckor sedan, sårbarheten – kallad Log4Shell – fick mängder av uppmärksamhet i media efter att ha blivit kallad det värsta mjukvarufelet “möjligen i modern dators historia” av både butiker och säkerhetsexperter.
Med FTC planerar att förfölja företag som misslyckas med att tillhandahålla adekvat skydd till konsumenterna, för både kundens och företagets skull, är det av yttersta vikt att säkerhetsbestämmelserna uppdateras.
Bötfälla tanklösa företag
FTC har gjort det klart att det kommer att använda lagens fulla kraft för att säkerställa att så lite konsumentdata som möjligt raderas eller stjäls via attacker som utnyttjar Log4J-sårbarheten.
“FTC avser att använda sin fulla juridiska befogenhet för att förfölja företag som inte vidtar rimliga åtgärder för att skydda konsumentdata från exponering till följd av Log4j eller liknande kända sårbarheter i framtiden.” – Nationella handelsinstitutet.
Företag som inte gör det kommer sannolikt att möta böter på flera miljoner dollar och möjligen andra rättsliga åtgärder, säger byrån och hänvisar till sin uppgörelse på 700 miljoner dollar med Equifax 2019 ifall någon tänkte kalla dess bluff.
Tillsynsorganet anger också fyra steg att ta för dem som använder Log4J-programbiblioteket:
- Uppdatera ditt Log4j-programpaket till den senaste versionen som finns här:https://logging.apache.org/log4j/2.x/security.html
- Rådfråga CISA vägledning för att mildra denna sårbarhet.
- Se till att korrigerande åtgärder vidtas så att ditt företags praxis inte bryter mot lagen. Underlåtenhet att identifiera och korrigera instanser av denna programvara kan brytaFTC-lagen.
- Distribuera denna information till alla relevanta dotterbolag från tredje part som säljer produkter eller tjänster till konsumenter som kan vara sårbara.
Före sin varning till den privata sektorn beordrade regeringen förra månaden att alla Federal Civilian Executive Branch-byråer (såsom Department of Agriculture och Department of Defence) vidtar åtgärder för att mildra hotet från Log4Shell.
Vad är Log4J-sårbarheten?
Kort sagt, Log4Shell är en sårbarhet som finns i ett loggningsverktyg med öppen källkod Log4J, som är en del av Apache-kodbiblioteket. Det är en nolldagarssårbarhet, vilket innebär att hackare utnyttjade det långt innan det identifierades som ett problem.
Log4Shell tillåter fjärrkörning av kod, vilket gör det ganska farligt – skadliga datasträngar behöver bara bearbetas av den sårbara komponenten i Log42, och sedan finns det liten gräns för vad en hotaktör kan göra
“Log4J-sårbarheterna representerar en komplex och högrisksituation för företag över hela världen. Denna öppen källkodskomponent används i stor utsträckning i många leverantörers mjukvara och tjänster”. – Microsoft 365 Defender Threat Intelligence Team.
Microsofts säkerhetsteam också förklarade i måndags att “Genom sin natur att Log4J är en komponent påverkar sårbarheterna inte bara applikationer som använder sårbara bibliotek, utan även alla tjänster som använder dessa applikationer, så kunder kanske inte så lätt vet hur utbrett problemet är i deras miljö”.
Vad ska jag göra om mitt företag använder Log4J?
Tja, chansen är stor att du använder det, åtminstone någonstans i dina system. Om så är fallet är den optimala åtgärden att vidta för närvarande att följa FTC-riktlinjerna, både för dina kunders och ditt företags skull, och konsultera CISA vägledning hänvisas till i FTC:s instruktioner.
Om ditt företags säkerhetsbestämmelser inte fyller dig med självförtroende kan det här vara dags att tänka på en revision och efterföljande uppgradering. När allt kommer omkring, som Microsoft säger, “kan det hända att organisationer inte inser att deras miljöer redan kan vara äventyrade”, och kunder bör göra en “ytterligare granskning av enheter där sårbara installationer upptäcks.”
Viktigt, det senaste, mest pålitliga Antivirus mjukvara ditt företags budget kan rymma – och i sin tur den senaste versionen/iterationerna av den programvaran – kommer att säkerställa att du kommer att kunna ta bort all skadlig programvara som kan ha satts in i din enhet via exploateringen.
