12月22日，美國國土安全部(DHS)部長亞歷杭德羅·N·馬約卡斯 (Alejandro N. Mayorkas)發推文表示，為了應對最近發現的 log4j 漏洞，部門正在擴大Hack DHS漏洞賞金計劃的范圍，包括額外的激勵措施，以發現和修補系統中與log4j有關的漏洞。

[[441776]]

上周，國土安全部推出了Hack DHS漏洞賞金計劃，允許經過審查的網絡安全研究人員發現和報告外部 DHS 系統中的漏洞，每個報告的錯誤可獲得高達 5,000 美元的獎勵。

這一計劃也允許經過審查的黑客參與，他們需要披露所發現的漏洞以及有關漏洞的詳細信息、攻擊者如何利用它以及如何使用它來訪問來自 DHS 系統的信息。

DHS 會在48 小時內驗證所有報告的安全漏洞，并在15天或更長時間內修復，這具體取決于漏洞的復雜性。

此次Hack DHS的擴大計劃源自上周五由美國網絡安全和基礎結構安全局(CISA)發出的緊急指令，該指令命令聯邦民事行政部門機構在12月23日之前修補被積極利用的Log4Shell漏洞。

CISA 為 Log4Shell 缺陷提供了一個 專門頁面，其中包含供應商和受影響組織的補丁信息，并發布了一個 Log4j 掃描程序來查找易受攻擊的應用程序。

除此以外，CISA 還與世界各地的網絡安全機構和其他美國聯邦機構一起發布了一份聯合咨詢報告，其中包含解決 CVE-2021-44228、CVE-2021-45046 和 CVE-2021-45105 Log4j 安全漏洞的緩解指南。

參考來源：https://www.bleepingcomputer.com/news/security/hack-dhs-bug-bounty-program-expands-to-log4j-security-flaws/