信息來源:安全內(nèi)參
令全球企業(yè)聞風(fēng)喪膽的Log4j2漏洞(Log4Shell)危機仍在持續(xù)�����,由于此前的新聞報道主要聚焦關(guān)鍵基礎(chǔ)設(shè)施和企業(yè)級用戶���,人們忘記了無處不在的Log4j2漏洞對于消費者來說也是一個“不定時炸彈“。在經(jīng)歷最初的慌亂后�����,安全專家們擔(dān)心的“C端風(fēng)險“���,也就是該超級漏洞對普通消費者的威脅�,也開始受到重視����。
美國聯(lián)邦貿(mào)易委員會(FTC)今天警告說��,它將懲罰任何未能保護其客戶數(shù)據(jù)免受持續(xù)Log4J攻擊的美國公司�����。(編者:例如你的WiFi路由器或NAS存在Log4j2漏洞而廠商沒有及時發(fā)布補?����。?
FTC表示:“FTC打算利用其全部法律權(quán)力追究未能采取合理措施保護消費者數(shù)據(jù)免遭Log4j或類似已知漏洞暴露的公司�?���!?
“采取合理措施減輕已知軟件漏洞的責(zé)任涉及的法律包括《聯(lián)邦貿(mào)易委員會法》和《格拉姆·里奇·布萊利法》?��!?
“至關(guān)重要的是��,依賴Log4j的公司及其供應(yīng)商立即采取行動�,以減少對消費者造成傷害的可能性����,并避免FTC采取法律行動?����!?
該警告是在CISA發(fā)布緊急指令之后發(fā)出的,該指令命令美國聯(lián)邦民事行政部門機構(gòu)在12月23日之前修補被積極利用的Log4Shell漏洞���。
CISA還發(fā)布了一個Log4Shell漏洞補丁專用網(wǎng)頁��,并發(fā)布了一個Log4j掃描器(https://github.com/fullhunt/log4j-scan)來查找易受攻擊的Java應(yīng)用程序�����。
CISA還與五眼網(wǎng)絡(luò)安全機構(gòu)和其他美國聯(lián)邦機構(gòu)一起發(fā)布了一份聯(lián)合咨詢報告����,其中包含緩解CVE-2021-44228����、CVE-2021-45046和CVE-2021-45105Log4j安全漏洞的建議�。
