12月22日，美國國土安全部(DHS)部長亞歷杭德羅·N·馬約卡斯 (Alejandro N. Mayorkas)發(fā)推文表示，為了應對最近發(fā)現的 log4j 漏洞，部門正在擴大Hack DHS漏洞賞金計劃的范圍，包括額外的激勵措施，以發(fā)現和修補系統中與log4j有關的漏洞。

[[441776]]

上周，國土安全部推出了Hack DHS漏洞賞金計劃，允許經過審查的網絡安全研究人員發(fā)現和報告外部 DHS 系統中的漏洞，每個報告的錯誤可獲得高達 5,000 美元的獎勵。

這一計劃也允許經過審查的黑客參與，他們需要披露所發(fā)現的漏洞以及有關漏洞的詳細信息、攻擊者如何利用它以及如何使用它來訪問來自 DHS 系統的信息。

DHS 會在48 小時內驗證所有報告的安全漏洞，并在15天或更長時間內修復，這具體取決于漏洞的復雜性。

此次Hack DHS的擴大計劃源自上周五由美國網絡安全和基礎結構安全局(CISA)發(fā)出的緊急指令，該指令命令聯邦民事行政部門機構在12月23日之前修補被積極利用的Log4Shell漏洞。

CISA 為 Log4Shell 缺陷提供了一個 專門頁面，其中包含供應商和受影響組織的補丁信息，并發(fā)布了一個 Log4j 掃描程序來查找易受攻擊的應用程序。

除此以外，CISA 還與世界各地的網絡安全機構和其他美國聯邦機構一起發(fā)布了一份聯合咨詢報告，其中包含解決 CVE-2021-44228、CVE-2021-45046 和 CVE-2021-45105 Log4j 安全漏洞的緩解指南。

參考來源：https://www.bleepingcomputer.com/news/security/hack-dhs-bug-bounty-program-expands-to-log4j-security-flaws/