La FTC afirma en su alerta que Log4Shell supone un grave riesgo para millones de productos de consumo y aplicaciones empresariales, añadiendo que existe un riesgo significativo de pérdida de datos en una brecha hecha posible por la vulnerabilidad, rastreada como CVE-2021-44228.
“La obligación de tomar medidas razonables para mitigar las vulnerabilidades de software conocidas implica leyes que incluyen, entre otras, la Ley de la Comisión Federal de Comercio y la Ley Gramm Leach Bliley. Es fundamental que las empresas y sus proveedores que confían en Log4j actúen ahora, con el fin de reducir la probabilidad de daño a los consumidores, y para evitar la acción legal de la FTC”, escribe la FTC en un comunicado.
La célebre filtración de datos de Equifax fue mencionada por la FTC en su advertencia a todas las empresas estadounidenses, diciendo que no parcheó una vulnerabilidad conocida, perdió datos pertenecientes a 147 millones de personas y pagó 700 millones de dólares para resolver las acciones de la FTC y la Oficina de Protección Financiera del Consumidor.
“La FTC tiene la intención de utilizar toda su autoridad legal para perseguir a las empresas que no tomen medidas razonables para proteger los datos de los consumidores de la exposición como resultado de Log4j, o de vulnerabilidades conocidas similares en el futuro”, dijo.
La FTC animó a las empresas a seguir las orientaciones publicadas por la Agencia de Seguridad de las Infraestructuras y la Ciberseguridad de Estados Unidos (CISA):
- Actualice su paquete de software Log4j a la versión más reciente.
- Consulte las orientaciones de la CISA para mitigar esta vulnerabilidad.
- Asegúrese de que se toman medidas correctivas para garantizar que las prácticas de su empresa no violan la ley. No identificar y parchear las instancias de este software puede violar la Ley FTC.
- Distribuya esta información a todas las filiales de terceros que vendan productos o servicios a consumidores que puedan ser vulnerables.
