Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 14 december 2021 | Ämne: Regering : USA
US Cybersecurity and Infrastructure Security Agency har beordrat alla civila federala myndigheter att korrigera sårbarheten Log4j och tre andra senast den 24 december, och lägga till den i organisationens katalog över kända exploaterade sårbarheter.
CISA skapade en landningssida för allt log4j-sårbarhetsinnehåll och ger insikt tillsammans med Joint Cyber Defense Collaborative som inkluderar flera cybersäkerhetsföretag.
CISA lade till Log4j-sårbarheten tillsammans med 12 andra, där fyra hade åtgärdsförfallodatum den 24 december och resten hade 10 juni 2022 som datum. De som är planerade att åtgärdas till jul inkluderar Zoho Corp. Desktop Central Authentication Bypass sårbarhet, Fortinet FortiOS godtycklig filnedladdningssårbarhet och Realtek Jungle SDK Remote Code Execution sårbarhet.
CISA-chefen Jen Easterly sa i ett uttalande på lördagen att log4j-sårbarheten “utnyttjas allmänt av en växande uppsättning hotaktörer” och “utgör en akut utmaning för nätverksförsvarare med tanke på dess breda användning.”< /p>
CTO Casey Ellis för Bugcrowd lovordade tidsfristerna för sanering men sa att det skulle vara “nästan omöjligt för de flesta organisationer.”
“De måste hitta log4j innan de kan patcha det, och många har fortfarande fastnat på det steget. Om log4j hittas är det troligt att det är djupt inbäddat i befintliga applikationer och kommer att kräva regressionstestning för att säkerställa att en patch inte går sönder något annat, sa Ellis. “Kort sagt, tidspressen är bra för att aktivera dem som inte tar detta på allvar, men det här kommer att vara en svår tidsram för många att möta.”
CISA skapade listan förra månaden som ett sätt att förse statliga organisationer med en katalog över sårbarheter organiserade efter svårighetsgrad. Var och en får ett förfallodatum för sanering och andra riktlinjer för förvaltningen.
Det finns en ökande oro för att industriella nätverk – av vilka många anses vara kritisk infrastruktur av amerikanska tjänstemän – är bland dem som är mest sårbara för den nyligen avslöjade nolldagen.
Dennis Hackney, chef för utveckling av industriella cybersäkerhetstjänster på ABS Group, sa att Log4j API främst påverkar felsöknings- och loggningsmöjligheterna inom mycket vanliga historiker och loggningsapplikationer i OT-miljön.
Vad många företag inte inser, sa Hackney, är att tillsynskontroll och datainsamling (SCADA) och HMI-applikationer vanligtvis inkluderar öppen källkodsteknologi som Java och Apache som finns i Log4j 2.0 sårbarheten, för att ge den mest kostnadseffektiva effektiv och operativ funktionalitet som möjligt. Hackney tillade att de potentiella OEM-tillverkare som kan komma att utfärda säkerhetsvarningar inom kort med godkända korrigeringar inkluderar Siemens T3000, GE CIMPLICY Historian, GE LogManager, OSISoft Pi Logger, Inductive, Mango Automation, Mango Automation och andra.
“Log4j API används i mycket vanliga SCADA-system och historiker i branschen. Tänk GE Cimplicity, OSI Pi, Emerson Progea och SIMATIC WinCC. Vi såg faktiskt ett exempel där ingenjören kunde starta runtime-miljön för hans IO-servrar. Dessa är servrarna som kontrollerar objektlänkning och inbäddning för processkontroll (OPC)-kommunikation mellan HMI:erna (SCADA) och styrenheterna, eller andra SCADA och mellan styrenheter,” sa Hackney.
Säkerhet
Log4j zero-day-fel: Vad du behöver veta och hur du skyddar dig själv Alla är utbrända. Det håller på att bli en säkerhetsmardröm De bästa VPN:erna för små och hembaserade företag 2021. Chefer är ovilliga att spendera pengar på cybersäkerhet. Då blir de hackade Hit av ransomware? Gör inte detta första uppenbara misstag Säkerhet | CXO | Innovation | Smarta städer