ממשל ארה"ב מאיים: נקנוס ארגונים שלא יטפלו בחולשה החמורה Log4j

"קריטי שחברות והספקיות שלהן, שהחולשה מצויה במערכותיהן, יפעלו כעת, על מנת לצמצם את הסבירות לפגיעה בצרכנים ולהימנע מפעולות משפטיות שננקוט בהן", נכתב בהודעה שהוציאה סוכנות הסחר הפדרלית

כיכבה בדו"ח של פורסקאוט. ספריית הלוגים הפופולרית Log4j.

ה-FTC, נציבות הסחר הפדרלי של ארצות הברית, האמונה על ההגבלים העסקיים, הזהירה אתמול (ד') ארגונים שאם הם לא יפעלו כדי לתקן את החולשה החמורה Log4j – "עלולות להיות לכך השלכות משפטיות".

"כאשר חולשות מתגלות ומנוצלות, זה עלול להוביל למצב של סיכון, שבו יהיה אובדן של נתונים ומידע אישי, הוצאות כספיות ונזק בלתי הפיך אחר", הזהירה הנציבות. "קריטי שחברות והספקיות שלהן, שהחולשה מצויה במערכותיהן, יפעלו כעת, על מנת לצמצם את הסבירות לפגיעה בצרכנים ולהימנע מפעולות משפטיות שננקוט בהן (אם זה לא יקרה – י"ה)".

אנליסטים ציינו שאזהרת הנציבות היא "יריית הפתיחה, שמגיעה בסמיכות זמנים לדיונים שמתקיימים בקונגרס על חוק פדרלי שיעסוק בתנאים ובדרישות שיוטלו על ארגונים שסבלו מפריצות או פרצות". כך, בהתרעת הנציבות צוטט ההסדר מ-2019 שהיא ערכה עם אקוויפקס, שעלה לחברה 700 מיליון דולר. "כישלונה של אקוויפקס לתקן פגם ידוע הוביל לחשיפת מידע אישי של 147 מיליון לקוחות", ציינו. "FTC מתכוננת להחיל את הסמכות החוקית שלה כדי להגן על צרכנים במקרים של פגיעות ידועות דומות בעתיד", נאמר בהודעת הנציבות.

ההיסטוריה של Log4j

בדצמבר פרסם מערך הסייבר הלאומי התרעה דחופה על חולשה חמורה, שעלולה להביא לחדירות למערכות המחשוב הארגוניות. החולשה התגלתה באחת התוכנות הפופולריות ביותר, האמונות על תיעוד פעילות המשתמשים בשירותים אינטרנטיים. התוכנה, Log4j, משובצת כמעט בכל שירות אינטרנטי או אפליקציה מוכרים, כולל טוויטר, אמזון, מיקרוסופט, מיינקראפט ועוד, ונמצאת בכל מקום – משרתי iCloud ועד לפתרונות IT ואבטחה ארגוניים, כמו גם במצלמות במעגל סגור (CCTV) ובמדפסות. החבילה הפגיעה משמשת במיליוני יישומי ג'אווה. האקרים שלוחי מדינות ניצלו את החולשה.

חוקרי צ'ק פוינט, שהיו הראשונים לזהות את Log4j, צפו ביותר מ-840 ניסיונות ניצול שלה. משמע, היא הייתה עלולה לפגוע בכ-40% מהרשתות הארגוניות בעולם.

ג'ן איסטרלי, ראשת CISA, אמרה לבכירים בסביבתה כי "החולשה היא אחת החמורות שהכרתי בימי חיי המקצועיים – אם לא החמורה שבהן. מאות מיליוני רכיבים עלולים להינזק ממנה".

כמה ימים לאחר שחשפה את החולשה, צ'ק פוינט גילתה שהאקרים מאיראן ניסו לתקוף שבע מטרות ממשלתיות ועסקיות בישראל.

אנליסטים מקראודסטרייק העריכו שהקבוצה העומדת מאחורי המתקפה, שאותה היא מכנה Aquatic Panda – דוב פנדה ימי, פעילה לפחות מאז מאי אשתקד. פעילותה התמקדה בעיקר בתקיפות של יעדים ממגזרי התקשורת, הטכנולוגיה והממשל.

חוקרי מנדיאנט ומיקרוסופט דיווחו על פעילות של קבוצות איומים סיניות, שמנצלות את הפגיעות של Log4j. מיקרוסופט צפתה בהתקפות של הקבוצה הסינית Hafnium, שגם חבריה עשו שימוש בפגיעות נגד תשתית וירטואליזציה. הענקית מרדמונד גם הזהירה מפני התקפות המנצלות את הפגיעות, על ידי קבוצות תקיפה הקשורות לאיראן, לצפון קוריאה ולטורקיה.

 

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים