近期开源软件Log4j重大漏洞冲击科技领域,由于无数应用程序曾采用以进行开发,影响甚大,在1月4日,美国联邦交易委员会(FTC)呼吁,为保护消费者权益,企业及其合作厂商务必立即采取修补行动。
值得关注的是,以往FTC的制裁,多是针对特定厂商或多个漏洞,这次罕见针对单一漏洞发出警示,明确指出若未修补漏洞,而致客户个人信息外泄或财务损失,恐遭该单位控告,虽然未说明制裁金额比例,但这份公告警告意味相当浓厚,不论是否身处美国,政府与企业、软硬件企业都应重视。
Log4j用于记录服务中各种系统活动,几乎是一款无处不在的软件,最近Log4j被发现的CVE-2021-44228等一系列漏洞,对数百万的消费产品、企业软件与网页应用程序,带来巨大冲击,并有越来越多攻击者广泛利用这个漏洞。
对于已知漏洞未修补的严重性,FTC提出2017年重大安全事件说明。而这个例子,就是信用报告企业Equifax资料外泄事件,他们在5月至7月间,因漏洞未修补遭黑客入侵,导致1.47亿名消费者个人信息外泄,包括姓名、生日、地址,以及20多万张银行卡资料。
事后调查结果显示,美国国土安全部同年3月曾向Equifax发出警告,提醒漏洞存在,该公司却没有效修补,最终导致资料外泄。后续Equifax遭FTC控告,2019年以7亿美元和解。
FTC表示,当漏洞被发现和利用时,可能会导致个人信息外泄、经济层面损失,以及其他不可逆转的伤害,因此须采取合理措施,缓解已知软件漏洞,若未妥善处理,将涉及违反法令,如联邦贸易委员会法案(FTCA),以及金融服务业现代化法案,也称为GrammLeach Bliley Act(GLBA)。
现在,由于Log4j漏洞影响甚剧,FTC强调,对于依赖Log4j的公司及其供应商而言,需立即采取行动,减少可能对消费者带来的伤害,避免面临FTC的法律诉讼。更进一步来看,对于日后任何已知漏洞,企业若不处理,因而造成顾客资料损害,都可能面临法律裁罚。
同时,FTC提供了这次漏洞修补的相关信息,包括:安装Log4j最新版2.17.1,将可修补近期发现的4个漏洞,若要检查是否使用Log4j软件程序库,FTC也推荐CISA所发布的Log4j Scanner工具,企业及其合作厂商应确保采取补救措施,以保证公司的做法能不违反上述法律,并要将这样的信息,通知到提供消费产品服务且易受攻击的第三方子公司。
Log4j重大漏洞影响甚广,近期美国联邦交易委员会(FTC)也提出警告,要企业与供应商需保障消费者权益,若因未修补漏洞而致客户个人信息外泄或财务损失,将可能遭FTC控告,而之前已有前例,美国DHS曾向Equifax警告存在漏洞存在,但该公司却没有效修补,结果导致资料外泄事件,因而遭FTC控告。
对此政府积极介入的态势,身为台湾企业安全通报协处的TWCERT表示,这次美FTC警告将对未修补的企业控告,重点在于担忧后续资料外泄。
关于台湾的状况,TWCERT表示,在CVE-2021-44228披露之际,他们已通知台湾一些通信产品制造商,而这些厂商也自行发布相关安全公告,说明是否受影响或修补状况,例如华硕、万亿勤、D-Link、威联通、群晖等。
但令人忧心的是,台湾有许多中小型软硬件产品企业,无法确定他们在产品开发流程中,已经完全掌握使用的软件组件,同时,企业是否能盘点检查软硬件的修补状况,将考验企业与合作厂商溯源能力。
至于各国政府是否需祭出类似的手段,促使企业与产业重视漏洞修补,以及保障消费者资料权益,也将成为安全界后续关注议题。