CISA หรือ Cybersecurity and Infrastructure Security Agency หน่วยงานความมั่นคงไซเบอร์ของสหรัฐ ซึ่งเป็นหน่วยงานแม่ของ US-CERT ออกคำสั่งทางปกครอง ให้หน่วยงานพลเรือนทั้งหมดของรัฐบาลสหรัฐ ต้องอุดช่องโหว่ Log4j ให้เสร็จสิ้นภายในวันที่ 24 ธันวาคม 2021

CISA มีอำนาจสั่งให้หน่วยงานภาครัฐของสหรัฐต้องลดความเสี่ยงจากช่องโหว่ความปลอดภัยสำคัญๆ (Significant Risk of Known Exploited Vulnerabilities) ตามรายการที่กำหนด เมื่อ CISA เพิ่มช่องโหว่ CVE-2021-44228 เข้ามาในรายการ หน่วยงานภาครัฐจึงต้องอุดช่องโหว่นี้ให้เสร็จภายในเวลาที่กำหนด

คำสั่งของ CISA รอบนี้ยังครอบคลุมถึงช่องโหว่อื่นๆ อีกหลายตัว เช่น ช่องโหว่ตของ Fortinet FortiOS, Zoho Desktop Central, Realtek Jungle SDK เป็นต้น

คำแนะนำของ CISA คือให้ติดตั้งแพตช์ทันที โดยเลือกอุดแพตช์กับเซิร์ฟเวอร์สำคัญที่เชื่อมต่อเครือข่ายก่อน หรือถ้ายังไม่สามารถติดตั้งแพตช์ได้ ให้เปิดการตั้งค่า log4j2.formatMsgNoLookups ไปก่อน หากพบการโจมตีใดๆ ให้ติดต่อ CISA หรือ FBI ทันที

ที่มา - Binding Operational Directive 22-01, CISA