FTC 警告對未能緩解 Log4J 攻擊的企業采取法律行動

全球企業聞風喪膽的Log4j2漏洞（Log4Shell）危機仍在持續，由于此前的新聞報道主要聚焦關鍵基礎設施和企業級用戶，人們忘記了無處不在的Log4j2漏洞對于消費者來說也是一個“不定時炸彈“。在經歷最初的慌亂后，安全專家們擔心的“C端風險“，也就是該超級漏洞對普通消費者的威脅，也開始受到重視。

此舉旨在敦促組織保護其基礎設施，同時民族國家行為者和網絡犯罪分子都在其活動中利用Log4J 缺陷。

美國聯邦貿易委員會 (FTC) 警告對保護其系統免受Log4Shell  (CVE-2021-44228) 攻擊的公司采取法律行動。

FTC表示：“FTC打算利用其全部法律權力追究未能采取合理措施保護消費者數據免遭Log4j或類似已知漏洞暴露的公司。”

“采取合理措施減輕已知軟件漏洞的責任涉及的法律包括《聯邦貿易委員會法》和《格拉姆·里奇·布萊利法》。”

“至關重要的是，依賴Log4j的公司及其供應商立即采取行動，以減少對消費者造成傷害的可能性，并避免FTC采取法律行動。”

該警告是在CISA發布緊急指令之后發出的，該指令命令美國聯邦民事行政部門機構在12月23日之前修補被積極利用的Log4Shell漏洞。

FTC 還建議：

• 將您的 Log4j 軟件包更新到此處找到的最新版本：https : //logging.apache.org/log4j/2.x/security.html（鏈接是外部的）
• 請 參閱 CISA 指南 以緩解此漏洞。
• 確保采取補救措施，以確保貴公司的做法不違反法律。未能識別和修補此軟件的實例可能違反?FTC 法案。
• 將此信息分發給向可能易受攻擊的消費者銷售產品或服務的任何相關第三方子公司。

CISA還發布了一個Log4Shell漏洞補丁專用網頁，并發布了一個Log4j掃描器（https://github.com/fullhunt/log4j-scan）來查找易受攻擊的Java應用程序。

CISA還與五眼網絡安全機構和其他美國聯邦機構一起發布了一份聯合咨詢報告，其中包含緩解CVE-2021-44228、CVE-2021-45046和CVE-2021-45105Log4j安全漏洞的建議。