La FTC avertit les entreprises de sécuriser les données des consommateurs contre les attaques Log4J

FTC warns companies to secure consumer data from Log4J attacks

La Federal Trade Commission (FTC) des États-Unis a averti aujourd’hui qu’elle s’en prendrait à toute entreprise américaine qui ne protégerait pas les données de ses clients contre les attaques Log4J en cours.

« La FTC a l’intention d’utiliser toute son autorité légale pour poursuivre les entreprises qui ne prennent pas de mesures raisonnables pour protéger les données des consommateurs contre l’exposition à Log4j ou à des vulnérabilités connues similaires à l’avenir », a déclaré l’agence gouvernementale américaine. mentionné.

« Le devoir de prendre des mesures raisonnables pour atténuer les vulnérabilités logicielles connues implique des lois, notamment la Federal Trade Commission Act et la Gramm Leach Bliley Act.

« Il est essentiel que les entreprises et leurs fournisseurs s’appuyant sur Log4j agissent maintenant, afin de réduire la probabilité de préjudice pour les consommateurs et d’éviter une action en justice de la FTC. »

La FTC conseille aux entreprises de suivre les directives de la CISA sur l’atténuation des failles Log4j et :

  • Mettez à jour votre progiciel Log4j vers la version la plus récente disponible ici : https://logging.apache.org/log4j/2.x/security.html(le lien est externe)
  • Consulter Directives CISA pour atténuer cette vulnérabilité.
  • Assurez-vous que des mesures correctives sont prises pour vous assurer que les pratiques de votre entreprise ne violent pas la loi. L’incapacité à identifier et à corriger les instances de ce logiciel peut violer la loi FTC.
  • Distribuez ces informations à toutes les filiales tierces concernées qui vendent des produits ou des services à des consommateurs susceptibles d’être vulnérables.

En exploitation active depuis début décembre

L’avertissement fait suite à une directive d’urgence émise par la CISA qui a ordonné aux agences de la branche exécutive fédérale civile des États-Unis de corriger le bug Log4Shell activement exploité jusqu’au 23 décembre.

Les agences fédérales ont également eu cinq jours supplémentaires jusqu’au 28 décembre pour signaler les produits impactés par Log4Shell dans leurs environnements, y compris les noms des applications et des fournisseurs, les versions des applications, ainsi que les mesures prises pour bloquer les tentatives d’attaque.

CISA fournit un page dédiée pour les failles Log4Shell avec des informations de correctif et a publié un scanner Log4j pour trouver les applications Java vulnérables.

En collaboration avec les agences de cybersécurité Five Eyes et d’autres agences fédérales américaines, la CISA a également publié un consultatif commun avec des conseils d’atténuation sur la résolution des failles de sécurité CVE-2021-44228, CVE-2021-45046 et CVE-2021-45105 Log4j.

« Microsoft a observé que des attaquants utilisaient bon nombre des mêmes techniques d’inventaire pour localiser des cibles. Des adversaires sophistiqués (comme des acteurs d’États-nations) et des attaquants de produits de base ont été observés en train de tirer parti de ces vulnérabilités. Il existe un potentiel élevé d’utilisation accrue des vulnérabilités,  » Les chercheurs en sécurité de Microsoft prévenu lundi.

« Les tentatives d’exploitation et les tests sont restés élevés au cours des dernières semaines de décembre. Nous avons observé de nombreux attaquants existants ajouter des exploits de ces vulnérabilités dans leurs kits et tactiques de logiciels malveillants existants, des mineurs de pièces aux attaques manuelles au clavier. »