CISA ordena a las agencias civiles federales que parchen la vulnerabilidad Log4j y otras 12 antes del 24 de diciembre

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. ha ordenado a todas las agencias federales civiles que parchen la vulnerabilidad Log4j y otras tres antes del 24 de diciembre, agregándola al Catálogo de Vulnerabilidades Explotadas Conocidas de la organización.

CISA creó una página de destino para todo el contenido de vulnerabilidad de Log4j y proporciona información junto con Joint Cyber ​​Defense Collaborative que incluye varias empresas de ciberseguridad.

CISA agregó la vulnerabilidad Log4j junto con otras 12, cuatro con fechas de vencimiento de remediación del 24 de diciembre y el resto con fecha del 10 de junio de 2022. Los que están programados para remediarse antes de Navidad incluyen la vulnerabilidad de omisión de autenticación central de escritorio de Zoho Corp., la vulnerabilidad de descarga de archivos arbitrarios de Fortinet FortiOS y la vulnerabilidad de ejecución remota de código Realtek Jungle SDK.

La directora de CISA, Jen Easterly, dijo en un comunicado el sábado que la vulnerabilidad log4j «está siendo ampliamente explotada por un conjunto creciente de actores de amenazas» y «presenta un desafío urgente para los defensores de la red dado su amplio uso».

El CTO de Bugcrowd, Casey Ellis, elogió los plazos de remediación, pero dijo que sería «casi imposible para la mayoría de las organizaciones».

«Necesitan encontrar log4j antes de poder parchearlo, y muchos todavía están atascados en ese paso. Si se encuentra log4j, es probable que esté profundamente integrado en las aplicaciones existentes y requerirá pruebas de regresión para garantizar que un parche no se rompa. cualquier otra cosa», dijo Ellis. «En resumen, la presión del tiempo es algo bueno para activar a aquellos que no se lo toman en serio, pero este será un período de tiempo difícil de cumplir para muchos».

CISA creó la lista el mes pasado como una forma de proporcionar a las organizaciones gubernamentales un catálogo de vulnerabilidades organizadas por gravedad. A cada uno se le asigna una fecha límite de remediación y otras pautas para la gestión.

Existe una preocupación creciente de que las redes industriales, muchas de las cuales son consideradas infraestructura crítica por los funcionarios estadounidenses, se encuentran entre las más vulnerables al día cero recientemente revelado.

Dennis Hackney, jefe de desarrollo de servicios de ciberseguridad industrial en ABS Group, dijo que la API de Log4j afecta principalmente las capacidades de depuración y registro dentro de aplicaciones de registro e historial muy comunes en el entorno OT.

De lo que muchas empresas no se dan cuenta, dijo Hackney, es que las aplicaciones de control de supervisión y adquisición de datos (SCADA) y HMI suelen incluir tecnologías de código abierto como Java y Apache que se encuentran en la vulnerabilidad Log4j 2.0, para proporcionar la mayor rentabilidad. funcionalidad efectiva y operativa posible. Hackney agregó que los OEM potenciales que pueden emitir alertas de seguridad en breve con arreglos aprobados incluyen Siemens T3000, GE CIMPLICY Historian, GE LogManager, OSISoft Pi Logger, Inductivo, Mango Automation, Mango Automation y otros.

«La API Log4j se usa en sistemas SCADA e historiadores muy comunes en la industria. Piense en GE Cimplicity, OSI Pi, Emerson Progea y SIMATIC WinCC. De hecho, presenciamos un ejemplo en el que el ingeniero no pudo iniciar el entorno de tiempo de ejecución para sus servidores IO Estos son los servidores que controlan el enlace y la incorporación de objetos para las comunicaciones de control de procesos (OPC) entre las HMI (SCADA) y los controladores, u otro SCADA y entre los controladores», dijo Hackney.

Deja un comentario