FINRA implementerar begränsningstaktik mot Log4J-sårbarhet


United States Financial Industry Regulatory Authority (FINRA) har utfärdat ett meddelande angående Log4J-sårbarheten.

Myndigheten säger att de har vidtagit omedelbara åtgärder för att neutralisera risken. De begränsningstaktik som FINRA använder sig av inkluderar att definiera varningar för utnyttjandeförsök, implementera regler för webbapplikationsbrandvägg (WAF) utformade för att förhindra exploatering av sårbarheten, utföra skanningar för att bekräfta att WAF-reglerna fungerar som förväntat och börja uppdatera Log4J-bibliotek som används i sig själv. -utvecklade applikationer.

FINRA säger att de spårar denna sårbarhet och att de kommer att tillämpa programuppdateringar när de blir tillgängliga och övervaka försök till angripare.

Tidigare i veckan utfärdade FINRA en varning till medlemsföretag om en nyligen identifierad sårbarhet i Apache Log4J-programvaran, som är ett Java-baserat loggningsverktyg med öppen källkod som ofta används av företagsapplikationer och molntjänster. “Log4Shell”-sårbarheten utgör en risk för medlemsföretagen eftersom de kan använda denna programvara i interna applikationer, eller så kan programvaran vara inbäddad i programvarupaket från tredje part.

Dessutom är många applikationer skrivna i Java potentiellt sårbara.

Dåliga aktörer kan dra fördel av denna sårbarhet för att äventyra system för att potentiellt stjäla information eller ägna sig åt bedrägliga aktiviteter. Till exempel kan en fjärrangripare utnyttja denna sårbarhet för att ta kontroll över ett påverkat system.

FINRA påminner företag om att US Securities and Exchange Commissions (SEC) förordning SP Rule 30 kräver att företag har skriftliga policyer och procedurer som rimligen är utformade för att skydda kundregister och information och FINRA Rule 4370 (Business Continuity Plans and Emergency Contact Information) gäller också till tjänsteförbud och andra avbrott i medlemmarnas verksamhet.



Source link