Jonathan Greig er en journalist basert i New York City.
Full Bio 14. desember 2021 | Emne: Regjeringen : USA
Det amerikanske byrået for cybersikkerhet og infrastruktursikkerhet har beordret alle sivile føderale byråer til å korrigere Log4j-sårbarheten og tre andre innen 24. desember, og legge den til organisasjonens katalog over kjente utnyttede sårbarheter.
CISA opprettet en landingsside for alt Log4j-sårbarhetsinnhold og gir innsikt sammen med Joint Cyber Defense Collaborative som inkluderer flere cybersikkerhetsselskaper.
CISA la til Log4j-sårbarheten sammen med 12 andre, med fire med forfallsdato for utbedring 24. desember og resten hadde 10. juni 2022 som dato. De som er planlagt utbedret innen jul inkluderer sårbarheten Zoho Corp. Desktop Central Authentication Bypass, Fortinet FortiOS vilkårlig filnedlastingssårbarhet og Realtek Jungle SDK Remote Code Execution-sårbarheten.
CISA-direktør Jen Easterly sa i en uttalelse lørdag at log4j-sårbarheten “blir mye utnyttet av et voksende sett av trusselaktører” og “presenterer en presserende utfordring for nettverksforsvarere gitt dens brede bruk.”< /p>
CTO for Bugcrowd, Casey Ellis, berømmet utbedringsfristene, men sa at det ville være “nesten umulig for de fleste organisasjoner.”
“De må finne log4j før de kan lappe den, og mange sitter fortsatt fast på det trinnet. Hvis log4j blir funnet, er det sannsynlig at den er dypt innebygd i eksisterende applikasjoner og vil kreve regresjonstesting for å sikre at en oppdatering ikke går i stykker noe annet,” sa Ellis. “Kort sagt, tidspresset er en god ting for å aktivere de som ikke tar dette seriøst, men dette vil være en vanskelig tidsramme for mange å møte.”
CISA opprettet listen forrige måned som en måte å gi offentlige organisasjoner en katalog over sårbarheter organisert etter alvorlighetsgrad. Hver får en utbedringsfrist og andre retningslinjer for ledelsen.
Det er økende bekymring for at industrielle nettverk – hvorav mange anses som kritisk infrastruktur av amerikanske tjenestemenn – er blant de som er mest sårbare for den nylig avslørte zero-day.
Dennis Hackney, leder for utvikling av industrielle cybersikkerhetstjenester i ABS Group, sa at Log4j API primært påvirker feilsøkings- og loggingsmulighetene i svært vanlige historiker- og loggapplikasjoner i OT-miljøet.
Det mange selskaper ikke er klar over, sa Hackney, er at tilsynskontroll og datainnsamling (SCADA) og HMI-applikasjoner vanligvis inkluderer åpen kildekode-teknologier som Java og Apache som finnes i Log4j 2.0-sårbarheten, for å gi mest mulig kostnads- effektiv og operativ funksjonalitet som mulig. Hackney la til at potensielle OEM-er som kan utstede sikkerhetsvarsler om kort tid med godkjente rettelser inkluderer Siemens T3000, GE CIMPLICY Historian, GE LogManager, OSISoft Pi Logger, Inductive, Mango Automation, Mango Automation og andre.
“Log4j API brukes i svært vanlige SCADA-systemer og historikere i bransjen. Tenk GE Cimplicity, OSI Pi, Emerson Progea og SIMATIC WinCC. Vi var faktisk vitne til ett eksempel hvor ingeniøren ikke klarte å starte kjøretidsmiljøet for IO-serverne hans. Dette er serverne som kontrollerer objektkobling og innebygging for prosesskontroll (OPC) kommunikasjon mellom HMI-ene (SCADA) og kontrollerene, eller andre SCADA og mellom kontrollere,” sa Hackney.
Sikkerhet
Log4j zero-day-feil: Hva du trenger å vite og hvordan du kan beskytte deg selv Alle er utbrent. Det begynner å bli et sikkerhetsmareritt. De beste VPN-ene for små og hjemmebaserte bedrifter i 2021. Sjefene er motvillige til å bruke penger på nettsikkerhet. Da blir de hacket. Truffet av løsepengeprogramvare? Ikke gjør denne første åpenbare feilen Sikkerhet | CXO | Innovasjon | Smarte byer