Log4Shell és un dels que apareixeran a les filtracions de dades durant la propera dècada
Aquest darrer mes de l'any 2023 marc el segon aniversari del descobriment de la vulnerabilitat Log4j/Log4Shell, la qual és una vulnerabilitat que avui dia continua afectat a molts projectes i suposa un risc de seguretat.
I és que Log4j segueix sent un blanc principal per als ciberatacs, segons l'informe anual Year in Review de Cloudflare i també els resultats d'un estudi sobre la rellevància de les vulnerabilitats crítiques a la biblioteca Java Log4j que van donar a conèixer investigadors de seguretat de Veracode.
Els investigadors de Veracode esmenten que després d'estudiar 38.278 aplicacions utilitzades per 3.866 organitzacions, van descobrir que dues de cada cinc aplicacions encara utilitzen versions vulnerables de la biblioteca Apache Log4j, dos anys després que es fes pública una vulnerabilitat crítica.
L'informe destaca que prop d'un terç de les aplicacions executen Log4j2 1.2.x (que va assolir el final de la seva vida útil a l'agost del 2015 i ja no rep actualitzacions de pegats) el que representa un 38%. La raó principal per continuar usant codi heretat és la integració de biblioteques antigues en projectes o la laboriositat de migrar de branques no compatibles a noves branques que són compatibles amb versions anteriors. A més, un 2.8% de les aplicacions encara utilitzen versions vulnerables a la coneguda vulnerabilitat Log4Shell.
A més d'això, s'esmenta que hi ha tres categories principals d'aplicacions que encara utilitzen versions vulnerables de Log4j, segons l'informe de Veracode:
- Vulnerabilitat Log4Shell (CVE-2021-44228):
El 2.8% de les aplicacions persisteixen a seguir utilitzant versions de Log4j des de la 2.0-beta9 fins a la 2.15.0, que contenen la vulnerabilitat coneguda. - Vulnerabilitat d'Execució Remota de Codi (RCE) (CVE-2021-44832):
Un 3.8% de les aplicacions utilitzen la versió Log4j2 2.17.0, que aborda la vulnerabilitat Log4Shell, però no resol la vulnerabilitat d'execució remota de codi (RCE) identificada com a CVE-2021-44832. - Branca Log4j2 1.2.x (Suport Finalitzat el 2015):
Un 32% de les aplicacions encara utilitzen la branca Log4j2 1.2.x. identificades el 2015, set anys després de finalitzat el manteniment.
Aquestes dades ressalten la diversitat de situacions en què les aplicacions continuen utilitzant versions desactualitzades i vulnerables de Log4j, cosa que genera una gran preocupació per part dels investigadors.
I és que una dada preocupant és que el 3.8% de les aplicacions utilitzen Log4j2 2.17.0, que va ser pegat contra Log4Shell, però conté CVE-2021-44832, una altra vulnerabilitat d'execució remota de codi d'alta gravetat.
L'informe subratlla que, malgrat els esforços realitzats en els darrers anys per millorar les pràctiques de seguretat en el desenvolupament de programari i l'ús de codi obert, queda feina per fer.
Chris Eng, director de recerca de Veracode, destaca que:
Els desenvolupadors tenen una responsabilitat crucial i que hi ha marge de millora pel que fa a la seguretat del programari de codi obert.
Encara que molts desenvolupadors inicialment van respondre adequadament a la crisi de Log4j instal·lant la versió 2.17.0, l'informe suggereix que alguns van tornar a patrons anteriors en no aplicar pegats més enllà del llançament de 2.17.1.
L'Apache Software Foundation (ASF) ha estat activament notificant als projectes downstream sobre la urgència d'actualitzar, però les troballes de l'informe indiquen que encara hi ha aplicacions que no han implementat les correccions necessàries.
L'informe de Veracode es va basar en dades d'escaneigs de programari de més de 38,000 aplicacions durant un període de 90 dies, entre el 15 d'agost i el 15 de novembre. Les aplicacions executaven versions de Log4j des de la 1.1 fins a la 3.0.0 alfa 1 a 3,866 organitzacions diferents.
La nostra investigació també va trobar que una vegada que els desenvolupadors són alertats sobre una biblioteca vulnerable a través d'una anàlisi, les solucionen relativament ràpid: el 50 per cent de les vulnerabilitats se solucionen en 89 dies en general, en 65 dies per a les vulnerabilitats de gravetat alta i en 107 dies per a les vulnerabilitats de gravetat mitjana.
Aquests resultats concorden amb els advertiments previs, com l'informe de la Junta Federal de Revisió de Seguretat Cibernètica de 2022, que va indicar que la crisi de Log4j prendria anys a resoldre's del tot.
Finalment si estàs interessat a poder conèixer més sobre això, t'invito que visitis l'article original del bloc de veracode. L'enllaç és aquest.