Министерство внутренней безопасности (DHS) объявило, что программа «Hack DHS» теперь также открыта для охотников за ошибками, желающих отслеживать системы DHS, затронутые уязвимостями Log4j.
«В ответ на недавно обнаруженные уязвимости log4j, @DHSgov расширяет рамки нашей новой программы вознаграждений за ошибки #HackDHS и включает дополнительные стимулы для поиска и исправления связанных с log4j уязвимостей в наших системах», — написал в Твиттере секретарь DHS Алехандро Н. Майоркас.
«В сотрудничестве с проверенными хакерами федеральное правительство продолжит обеспечивать безопасность общенациональных систем и повышать общую киберустойчивость».
На прошлой неделе было объявлено о программе вознаграждения за баги Hack DHS . Он позволяет проверенным исследователям кибербезопасности находить уязвимости во внешних системах DHS и сообщать о них, получая вознаграждение в размере до 5000 долларов за каждую обнаруженную ошибку.
Хакеры, участвующие в этой программе, должны раскрывать свои выводы вместе с подробной информацией об уязвимости, о том, как злоумышленники могут ее использовать и как злоумышленники могут использовать ее для доступа к информации из систем DHS.
Все обнаруженные недостатки безопасности будут проверены DHS в течение 48 часов и устранены в течение 15 или более дней, в зависимости от их сложности.
DHS запустило свою первую пилотную программу вознаграждения за ошибки в 2019 году после того, как был принят Закон о SECURE Technology Act, требующий разработки политики раскрытия уязвимостей безопасности и программы вознаграждения за обнаружение ошибок.
Решение о расширении программы «Hack DHS» было принято вслед за чрезвычайной директивой, выпущенной CISA в пятницу, чтобы приказать федеральным гражданским исполнительным органам исправить активно эксплуатируемую и критическую ошибку Log4Shell до 23 декабря.
Федеральным агентствам было дано еще пять дней до 28 декабря, чтобы сообщить о затронутых продуктах Java в их средах, включая названия приложений и поставщиков, версии приложений и действия, предпринятые для блокировки попыток эксплуатации.
CISA предоставляет специальную страницу для ошибки Log4Shell с информацией об исправлениях для поставщиков и затронутых организаций, и сегодня агентство выпустило сканер Log4j для поиска уязвимых приложений.
Совместно с агентствами по кибербезопасности по всему миру и другими федеральными агентствами США CISA также выпустила совместные рекомендации с руководством по устранению уязвимостей CVE-2021-44228, CVE-2021-45046 и CVE-2021-45105 в системе безопасности Log4j.
Последнее обновление 8 месяцев назад — GameZoom
