Американска агенция заплаши със съд местните компании, ако не запушат критична уязвимост
В края на предходната година се появи информацията за сериозна накърнимост в извънредно известна софтуерна библиотека. Log4j е основан на Java инструмент за вписване и предаване на събитията в софтуерните среди, който се употребява от голям брой компании, приложения и планове.
Log4Shell (CVE-2021-44228), както стана известна и метода за атакуването ѝ, експлоатира уязвимост във вградена функционалност на библиотеката, позволяваща връзката и изпращането на команди сред сървъра, който употребява Java инструмента и да речем машина, следена от хакер. Веднъж осъществена връзката сред двете системи, атакуващата страна може да превземе изцяло жертвата – да вижда и трансформира наличие, да конфигурира стратегии, извършва команди и други
Log4j – инструмент с открит код на Apache Foundation се явява в действителност известна платформа, употребена от услуги, като Amazon AWS, Microsoft Azure и Гугъл Cloud, среди за софтуерна разработка, сървъри, артикули за сигурност и администриране и други Вземайки поради значимостта на процесите по следене и запис на интензивността в компютърните среди и необятното потребление на библиотеката, експертите приказват за стотици хиляди и милиони наранени артикули. И също така, експлоатирането на Log4Shell, означават специалисти е механически елементарно. Запушването на дупката ще е в действителност нелека задача, само че поради това, че Apache издадоха актуализация за Log4Shell, то е наложително. Това е и повода Федералната комисия на Съединени американски щати (Federal Trade Commision, FTC) да предприеме необикновената стъпка да заплаши фирмите, които не наложат актуализациите с наказване.
„Когато уязвимостите биват откривани и експлоатирани се рискува пробив или загуба на персонална информация, финансови загуби и други необратими щети“, от Комисията в формален бюлетин, публикуван през тази седмица. „Задължението да се подхващат съответни стъпки, с цел да се избегнат произшествия с към този момент известни софтуерни уязвимости е очебийно в закони, като този на FTC и закона „Грам Лийч Били“. Критично значимо е фирмите и техните притежатели, които употребяват Log4j да работят в този момент, с цел да понижат опцията да бъде нанесена щета на потребителите и да избегнат правосъдно деяние от страна на Комисията“.
Строгостта на желанията си, FTC аргументира със случая с Equifax. Една от трите огромни кредитни организации в Съединени американски щати и един от най-големите оператори на персонални данни в света пострада от офанзива през 2017, в която беше експлоатирана към този момент запушена сериозна накърнимост в Apache Struts. Атаката докара до компрометирането на данните на 147 милиона индивида. След случая, Федералната комисия заведе дело към Equifax, което завърши със съглашение сред двете страни на стойност $700 милиона. От FTC приключват с предизвестието, че Комисията е твърдо решена да преследва и накаже фирмите, които не подхващат своевременни ограничения да наложат актуализациите към Log4Shel. Information-Security Magazine напомнят обаче, че към този момент не става дума само за CVE-2021-44228. След появяването на новината за казуса в библиотеката, инспекции откриха съществуването и на други проблеми, като да вземем за пример CVE-2021-45046, допускащ провеждането на DDoS, разкриването на информация и в някои случаи – осъществяването на случаен код отдалечено, CVE-2021-45105 (сходна накърнимост, позволяваща офанзива, която води до отвод за даването на услуга) и CVE-2021-44832 (дистанционно осъществяване на случаен код).
Log4Shell (CVE-2021-44228), както стана известна и метода за атакуването ѝ, експлоатира уязвимост във вградена функционалност на библиотеката, позволяваща връзката и изпращането на команди сред сървъра, който употребява Java инструмента и да речем машина, следена от хакер. Веднъж осъществена връзката сред двете системи, атакуващата страна може да превземе изцяло жертвата – да вижда и трансформира наличие, да конфигурира стратегии, извършва команди и други
Log4j – инструмент с открит код на Apache Foundation се явява в действителност известна платформа, употребена от услуги, като Amazon AWS, Microsoft Azure и Гугъл Cloud, среди за софтуерна разработка, сървъри, артикули за сигурност и администриране и други Вземайки поради значимостта на процесите по следене и запис на интензивността в компютърните среди и необятното потребление на библиотеката, експертите приказват за стотици хиляди и милиони наранени артикули. И също така, експлоатирането на Log4Shell, означават специалисти е механически елементарно. Запушването на дупката ще е в действителност нелека задача, само че поради това, че Apache издадоха актуализация за Log4Shell, то е наложително. Това е и повода Федералната комисия на Съединени американски щати (Federal Trade Commision, FTC) да предприеме необикновената стъпка да заплаши фирмите, които не наложат актуализациите с наказване.
„Когато уязвимостите биват откривани и експлоатирани се рискува пробив или загуба на персонална информация, финансови загуби и други необратими щети“, от Комисията в формален бюлетин, публикуван през тази седмица. „Задължението да се подхващат съответни стъпки, с цел да се избегнат произшествия с към този момент известни софтуерни уязвимости е очебийно в закони, като този на FTC и закона „Грам Лийч Били“. Критично значимо е фирмите и техните притежатели, които употребяват Log4j да работят в този момент, с цел да понижат опцията да бъде нанесена щета на потребителите и да избегнат правосъдно деяние от страна на Комисията“.
Строгостта на желанията си, FTC аргументира със случая с Equifax. Една от трите огромни кредитни организации в Съединени американски щати и един от най-големите оператори на персонални данни в света пострада от офанзива през 2017, в която беше експлоатирана към този момент запушена сериозна накърнимост в Apache Struts. Атаката докара до компрометирането на данните на 147 милиона индивида. След случая, Федералната комисия заведе дело към Equifax, което завърши със съглашение сред двете страни на стойност $700 милиона. От FTC приключват с предизвестието, че Комисията е твърдо решена да преследва и накаже фирмите, които не подхващат своевременни ограничения да наложат актуализациите към Log4Shel. Information-Security Magazine напомнят обаче, че към този момент не става дума само за CVE-2021-44228. След появяването на новината за казуса в библиотеката, инспекции откриха съществуването и на други проблеми, като да вземем за пример CVE-2021-45046, допускащ провеждането на DDoS, разкриването на информация и в някои случаи – осъществяването на случаен код отдалечено, CVE-2021-45105 (сходна накърнимост, позволяваща офанзива, която води до отвод за даването на услуга) и CVE-2021-44832 (дистанционно осъществяване на случаен код).
Източник: kaldata.com
КОМЕНТАРИ