Jonathan Greig er journalist baseret i New York City.
Fuld biografisk den 14. december 2021 | Emne: Regering : USA
Det amerikanske agentur for cybersikkerhed og infrastruktursikkerhed har beordret alle civile føderale agenturer til at korrigere Log4j-sårbarheden og tre andre inden den 24. december og tilføje den til organisationens katalog over kendte udnyttede sårbarheder.
CISA oprettede en landingsside for alt Log4j-sårbarhedsindhold og giver indsigt sammen med Joint Cyber Defense Collaborative, der omfatter flere cybersikkerhedsvirksomheder.
CISA tilføjede Log4j-sårbarheden sammen med 12 andre, hvoraf fire havde afhjælpningsfristen den 24. december og resten havde den 10. juni 2022 som dato. Dem, der er planlagt til afhjælpning inden jul, omfatter Zoho Corp. Desktop Central Authentication Bypass-sårbarheden, Fortinet FortiOS-sårbarhed for vilkårlig fildownload og Realtek Jungle SDK Remote Code Execution-sårbarhed.
CISA-direktør Jen Easterly sagde i en erklæring lørdag, at log4j-sårbarheden “udnyttes bredt af et voksende sæt trusselsaktører” og “værer en presserende udfordring for netværksforsvarere i betragtning af dens brede anvendelse.”< /p>
Bugcrowd CTO Casey Ellis roste afhjælpningsfristerne, men sagde, at det ville være “næsten umuligt for de fleste organisationer.”
“De skal finde log4j, før de kan patche det, og mange sidder stadig fast på det trin. Hvis log4j bliver fundet, er det sandsynligt, at det er dybt indlejret i eksisterende applikationer og vil kræve regressionstest for at sikre, at en patch ikke går i stykker noget andet,” sagde Ellis. “Kort sagt, tidspresset er en god ting for at aktivere dem, der ikke tager dette seriøst, men det vil være en svær tidsramme for mange at overholde.”
CISA oprettede listen i sidste måned som en måde at give statslige organisationer et katalog over sårbarheder organiseret efter sværhedsgrad. Hver får en afhjælpningsfrist og andre retningslinjer for ledelsen.
Der er stigende bekymring for, at industrielle netværk – hvoraf mange betragtes som kritisk infrastruktur af amerikanske embedsmænd – er blandt dem, der er mest sårbare over for den nyligt afslørede zero-day.
Dennis Hackney, leder af udvikling af industrielle cybersikkerhedstjenester hos ABS Group, sagde, at Log4j API primært påvirker fejlfindings- og logningsmulighederne i meget almindelige historiker- og logningsapplikationer i OT-miljøet.
Hvad mange virksomheder ikke er klar over, sagde Hackney, er, at tilsynskontrol og dataindsamling (SCADA) og HMI-applikationer typisk inkluderer open source-teknologier som Java og Apache, som findes i Log4j 2.0-sårbarheden, for at give den mest omkostnings- effektiv og operationel funktionalitet som muligt. Hackney tilføjede, at de potentielle OEM'er, der kan udsende sikkerhedsadvarsler inden længe med godkendte rettelser, inkluderer Siemens T3000, GE CIMPLICY Historian, GE LogManager, OSISoft Pi Logger, Inductive, Mango Automation, Mango Automation og andre.
“Log4j API'et bruges i meget almindelige SCADA-systemer og historikere i branchen. Tænk på GE Cimplicity, OSI Pi, Emerson Progea og SIMATIC WinCC. Vi var faktisk vidne til et eksempel, hvor ingeniøren ikke var i stand til at starte runtime-miljøet for hans IO-servere. Disse er de servere, der styrer objektlinkning og indlejring til proceskontrol (OPC) kommunikation mellem HMI'erne (SCADA) og controllerne eller andre SCADA og mellem controllere,” sagde Hackney.
Sikkerhed
Log4j zero-day fejl: Hvad du behøver at vide, og hvordan du beskytter dig selv Alle er udbrændt. Det er ved at blive et sikkerhedsmareridt De bedste VPN'er til små og hjemmebaserede virksomheder i 2021 Chefer er tilbageholdende med at bruge penge på cybersikkerhed. Så bliver de hacket Ramt af ransomware? Begå ikke denne første åbenlyse fejl Sikkerhed | CXO | Innovation | Smarte byer