Программа вознаграждений за ошибки Hack DHS расширяется до недостатков безопасности Log4j

1
 компьютерных игр для детей
компьютерных игр для детей

Министерство внутренней безопасности (DHS) объявило, что программа «Hack DHS» теперь также открыта для охотников за ошибками, желающих отслеживать системы DHS, затронутые уязвимостями Log4j.

«В ответ на недавно обнаруженные уязвимости log4j, @DHSgov расширяет рамки нашей новой программы вознаграждений за ошибки #HackDHS и включает дополнительные стимулы для поиска и исправления связанных с log4j уязвимостей в наших системах», — написал в Твиттере секретарь DHS Алехандро Н. Майоркас.

«В сотрудничестве с проверенными хакерами федеральное правительство продолжит обеспечивать безопасность общенациональных систем и повышать общую киберустойчивость».

На прошлой неделе было объявлено о программе вознаграждения за баги Hack DHS . Он позволяет проверенным исследователям кибербезопасности находить уязвимости во внешних системах DHS и сообщать о них, получая вознаграждение в размере до 5000 долларов за каждую обнаруженную ошибку.

Хакеры, участвующие в этой программе, должны раскрывать свои выводы вместе с подробной информацией об уязвимости, о том, как злоумышленники могут ее использовать и как злоумышленники могут использовать ее для доступа к информации из систем DHS.

Все обнаруженные недостатки безопасности будут проверены DHS в течение 48 часов и устранены в течение 15 или более дней, в зависимости от их сложности.

DHS запустило свою первую пилотную программу вознаграждения за ошибки в 2019 году после того, как был принят Закон о SECURE Technology Act, требующий разработки политики раскрытия уязвимостей безопасности и программы вознаграждения за обнаружение ошибок.

Решение о расширении программы «Hack DHS» было принято вслед за чрезвычайной директивой, выпущенной CISA в пятницу, чтобы приказать федеральным гражданским исполнительным органам исправить активно эксплуатируемую и критическую ошибку Log4Shell до 23 декабря.

Федеральным агентствам было дано еще пять дней до 28 декабря, чтобы сообщить о затронутых продуктах Java в их средах, включая названия приложений и поставщиков, версии приложений и действия, предпринятые для блокировки попыток эксплуатации.

CISA предоставляет специальную страницу для ошибки Log4Shell с информацией об исправлениях для поставщиков и затронутых организаций, и сегодня агентство выпустило сканер Log4j для поиска уязвимых приложений.

Совместно с агентствами по кибербезопасности по всему миру и другими федеральными агентствами США CISA также выпустила совместные рекомендации с руководством по устранению уязвимостей CVE-2021-44228, CVE-2021-45046 и CVE-2021-45105 в системе безопасности Log4j.

Последнее обновление 8 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии