Para lidar com a mais recente e perigosa ameaça digital, o Hack DHS agora cobre descobertas relacionadas a vulnerabilidades Log4j.
O Department of Homeland Security (DHS, ou Departamento de Segurança Interna) anunciou que o programa ‘Hack DHS’ agora também está aberto a caçadores de recompensas de bugs que desejam rastrear os sistemas DHS afetados pelas vulnerabilidades Log4j.
“Em resposta às vulnerabilidades log4j descobertas recentemente, @DHSgov está expandindo o escopo de nosso novo programa de recompensa por bug #HackDHS e incluindo incentivos adicionais para encontrar e corrigir vulnerabilidades relacionadas ao log4j em nossos sistemas”, tuitou o secretário do DHS Alejandro N. Mayorkas.
“Em parceria com hackers verificados, o governo federal continuará a proteger os sistemas nacionais e a aumentar a resiliência cibernética compartilhada.”
Hack DHS agora cobre descobertas relacionadas a vulnerabilidades Log4j
O programa de recompensa de bug ‘Hack DHS’ foi anunciado na semana passada. Ele permite que pesquisadores de segurança cibernética avaliados encontrem e relatem vulnerabilidades em sistemas DHS externos, ganhando recompensas de até US$ 5.000 por bug relatado.
Hackers inscritos neste programa são obrigados a divulgar suas descobertas junto com informações detalhadas sobre a vulnerabilidade, como os invasores podem explorá-la e como os agentes de ameaças podem usá-la para acessar informações de sistemas DHS.
Todas as falhas de segurança relatadas serão verificadas pelo DHS em 48 horas e corrigidas em 15 dias ou mais, dependendo de sua complexidade.
O DHS lançou seu primeiro programa piloto de recompensa de bug em 2019, depois que a Lei de Tecnologia SECURE foi aprovada em lei para exigir o estabelecimento de uma política de divulgação de vulnerabilidade de segurança e um programa de recompensa de bug.
UPDATE! We opened our #HackDHS bug bounty program to find & patch Log4j-related vulnerabilities in our systems. Huge thanks to the researcher community taking part in this program. Log4j is a global threat & it’s great to have some of the world’s best helping us keep orgs safe. https://t.co/lXcQ2nOH3a
— Jen Easterly (@CISAJen) December 22, 2021
A decisão de expandir o programa ‘Hack DHS’ vem na esteira de uma diretriz de emergência emitida pela CISA na sexta-feira para ordenar que agências do Poder Executivo Civil Federal consertem o bug Log4Shell crítico e ativamente explorado até 23 de dezembro.
As agências federais tiveram mais cinco dias até 28 de dezembro para relatar produtos Java impactados em seus ambientes, incluindo nomes de aplicativos e fornecedores, as versões dos aplicativos e as ações tomadas para bloquear as tentativas de exploração.
CISA fornece uma página dedicada para a falha Log4Shell com informações de patch para fornecedores e organizações afetadas, e hoje a agência lançou um scanner Log4j para encontrar aplicativos vulneráveis.
Junto com agências de segurança cibernética em todo o mundo e outras agências federais dos EUA, a CISA também emitiu um conselho conjunto com orientação de mitigação sobre como lidar com as falhas de segurança CVE-2021-44228, CVE-2021-45046 e CVE-2021-45105 Log4j.