Amerika Birleşik Devletleri Federal Ticaret Komisyonu (FTC), Log4j kusurlarını zamanında yamalayarak müşterilerinin verilerini ve uç noktalarını güvence altına alamayan şirketlerin peşine düşeceğini söyledi.
FTC, bu tür işletmelerin, şirketin müşteri verilerini ifşa etmek için 700 milyon dolar ödemeye zorlandığı Equifax 2019 anlaşmasına benzer bir senaryoya baktığını söyledi.
Kuruluş, “FTC, gelecekte Log4j veya benzer bilinen güvenlik açıklarının bir sonucu olarak tüketici verilerini maruz kalmaktan korumak için makul adımlar atmayan şirketleri takip etmek için tam yasal yetkisini kullanmayı planlıyor.” Dedi. “Bu yazılımın örneklerinin tanımlanmaması ve yamalanmaması FTC Yasasını ihlal edebilir.”
yıkıcı kusur
FTC, Log4j güvenlik açığını “daha geniş bir yapısal sorun kümesinin” ve sayısız şirket tarafından kullanılan “binlerce” habersiz, ancak kritik derecede önemli açık kaynak hizmetlerinden biri olarak tanımladı.
“Bu projeler genellikle, projeleri internet ekonomisi için kritik olmasına rağmen, olay müdahalesi ve proaktif bakım için her zaman yeterli kaynağa ve personele sahip olmayan gönüllüler tarafından oluşturulur ve sürdürülür. Bu genel dinamik, biz çalışırken FTC’nin dikkate alacağı bir şeydir. kullanıcı güvenliğini tehlikeye atan temel sorunları ele almak için.”
Araştırmacılar, Aralık 2021’de Apache’nin günlük kaydı aracı Log4j’de büyük bir yıkıcı potansiyele sahip büyük bir kusur keşfetti. CVE-2021-44228 olarak izleniyor ve kötü niyetli kişilerin kötü amaçlı yazılım da dahil olmak üzere neredeyse her kodu çalıştırmasına izin veriyor. Uzmanlar, kusurdan yararlanmak için gereken becerilerin çok düşük olduğu konusunda uyardı ve herkesi Log4j’yi olabildiğince hızlı bir şekilde yamalamaya çağırdı.
O zamandan beri, Apache birden fazla yama yayınladı, bu arada diğer ancak daha az yıkıcı kusurlar ortaya çıktı.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) direktörü Jen Easterly, bunu tüm kariyeri boyunca gördüğü “en ciddi” kusurlardan biri olarak nitelendirdi, “en ciddi olmasa da”.
Daha yakın zamanlarda Microsoft, insanların sorunun ne kadar yaygın olduğunun farkında olmadığını söyledi ve kusurdan yararlanmaya çalışan suçluların sayısının yüksek kaldığı konusunda uyardı.
Üzerinden: ZDNet