VS waarschuwt: pak Log4j-gat nu aan
De Amerikaanse regering waarschuwt voor een groeiend aantal aanvallers dat op kwetsbaarheden in loggingtool Log4j springt. Het kritieke beveiligingsgat dat begin december is onthuld, vormt volgens overheidsorgaan FTC (Federal Trade Commission) een risico voor miljoenen consumentenproducten plus grootzakelijke software- en webapplicaties. En dat kan tot hoge boetes leiden.
"Het is van kritiek belang dat bedrijven en hun leveranciers die vertrouwen op Log4j nu actie ondernemen", stelt de FTC in een bericht van begin deze week. De toezichthouder doet deze oproep bijna een maand na de onthulling van het kritieke gat in Log4j. Na het publiekelijk bekend worden daarvan begin december zijn er patches uitgekomen, waarna er nog aanvullende updates zijn gevolgd. De initiële patches bleken niet afdoende te zijn én er zijn meer zwakke plekken ontdekt.
Veel producten en leveranciers
De securitynachtmerrie die opensourcetool Log4j is ingegaan, is nog verergerd door het feit dat die loggingtool in vele andere producten is verwerkt. Diverse leveranciers van enterprise-applicaties en ook security-appliances blijken Log4j te gebruiken. Het Nederlandse cybersecurityorgaan NCSC (Nationaal Cyber Security Centrum) heeft een lange lijst van vatbare producten en leveranciers aangelegd, en vult die aan.
De Amerikaanse instantie FTC, die consumenten in de Verenigde Staten moet beschermen, komt nu met de dringende oproep om de situatie aan te pakken. Het beveiligingsgat in Log4j waarlangs op afstand malwarecode kan worden uitgevoerd, moet gedicht of goed afgedekt worden. "Deze kwetsbaarheid wordt breed misbruikt door een groeiende groep aanvallers", waarschuwt de FTC.
FTC: zie Equifax
Daarbij verwijst het overheidsorgaan naar de grote datadiefstal bij kredietbedrijf Equifax. Daar hebben dieven in 2017 door een gebrek aan patching gegevens van 147 miljoen consumenten gestolen. Het getroffen bedrijf heeft daarvoor begin 2020 een schikking getroffen die in totaal 700 miljoen dollar heeft gekost. De schikking was met met de FTC, het Consumer Financial Protection Bureau en de vijftig Amerikaanse staten waar de VS uit bestaat.
De FTC geeft nu aan dat het zijn volledige macht zal inzetten om bedrijven aan te pakken die falen in het nemen van redelijke stappen om consumentendata te beschermen tegen misbruik via het Log4j-gat, "of soortgelijke bekende kwetsbaarheden in de toekomst".
Te nemen stappen
De toezichthouder geeft aan welke stappen bedrijven en organisaties moeten nemen ter bescherming. Dit zijn: zorgen dat ze de meest recente Log4j-versie draaien, de Log4j-richtlijnen van het CISA (Cybersecurity and Infrastructure Security Agency) volgen, zich ervan verzekeren dat ze de FTC Act niet overtreden door gebrekkig patch-werk, en deze informatie doorgeven aan relevante derde partijen (zoals dochterondernemingen) die mogelijk kwetsbaar zijn.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee