Die US-amerikanische Federal Trade Commission (FTC) hat angekündigt, einzugreifen, wenn es Unternehmen nicht gelingt, die Daten und Endpunkte ihrer Servicekunden durch die rechtzeitige Behebung von Log4j-Fehlern zu schützen.
Die FTC behauptete, dass diese Unternehmen ein Szenario ähnlich dem Equifax-XNUMX-Pakt erwägen, bei dem das Unternehmen gezwungen war, XNUMX Millionen US-Dollar für die Offenlegung von Kundendaten über den Dienst zu zahlen.
„Die FTC beabsichtigt, ihre rechtlichen Befugnisse zu nutzen, um Unternehmen strafrechtlich zu verfolgen, die keine angemessenen Maßnahmen ergreifen, um Benutzerdaten künftig vor der Gefährdung durch Log4j oder damit verbundenen bekannten Schwachstellen zu schützen“, sagte die Organisation. „Das Versäumnis, Instanzen dieser Software zu identifizieren und zu korrigieren, kann gegen das FTC-Gesetz verstoßen. "
zerstörerisches Scheitern
Die FTC hat die Log4j-Schwachstelle als Teil einer „größeren Reihe“ struktureller Mängel und als einen von „Tausenden“ unangekündigten, aber kritischen Open-Source-Diensten beschrieben, die von unzähligen Unternehmen genutzt werden.
„Diese Projekte werden oft von Freiwilligen erstellt und gepflegt, die nicht immer über die richtigen Ressourcen und das richtige Personal für die Reaktion auf Vorfälle und die proaktive Wartung verfügen, obwohl ihre Projekte für die Internetwirtschaft von entscheidender Bedeutung sind. Diese globale Aktivität wird von der FTC in Betracht gezogen.“ Wir arbeiten daran, wesentliche Probleme anzugehen, die die Sicherheit der Benutzer gefährden.“
Forscher entdeckten im Dezember 4 einen kritischen Fehler in Log4j, dem Protokollierungstool von Apache, mit enormem Zerstörungspotenzial. Es verfolgt sich selbst als CVE-XNUMX-XNUMX und ermöglicht es böswilligen Akteuren, nahezu jeden Code auszuführen, einschließlich Malware. Die genauen Möglichkeiten, den Fehler auszunutzen, seien sehr gering, warnten die Experten und forderten alle auf, LogXNUMXj so schnell wie möglich zu patchen.
Seitdem hat Apache mehrere Korrekturen veröffentlicht, da in der Zwischenzeit weitere, aber weniger destruktive Fehler entdeckt wurden.
Jen Easterly, Direktorin der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA), beschrieb es als „einen der schwerwiegendsten Fehler“, den sie in ihrer Karriere gesehen habe, „wenn nicht sogar den schwerwiegendsten“.
Kürzlich behauptete Microsoft, dass die Menschen sich des Ausmaßes des Problems wahrscheinlich nicht bewusst seien, und warnte, dass die Zahl der Kriminellen, die versuchen, die Lücke auszunutzen, nach wie vor hoch sei.
Über: ZDNet