Log4Shell એ આગામી દાયકામાં ડેટા ભંગમાં દેખાતું એક છે
વર્ષ 2023 ના આ છેલ્લા મહિનામાં ચિહ્નિત થયેલ છે Log4j/Log4Shell નબળાઈની શોધની બીજી વર્ષગાંઠ, જે એક નબળાઈ છે જે આજે પણ ઘણા પ્રોજેક્ટ્સને અસર કરતી રહે છે અને સુરક્ષા જોખમ ઊભું કરે છે.
અને Cloudflare ના વાર્ષિક "રીવ્યુ ઈન રીવ્યુ" રિપોર્ટ અને સુરક્ષા સંશોધકો દ્વારા બહાર પાડવામાં આવેલ Log4j Java લાઈબ્રેરીમાં નિર્ણાયક નબળાઈઓની સુસંગતતા પરના અભ્યાસના પરિણામો અનુસાર, Log4j એ સાયબર હુમલાઓ માટેનું મુખ્ય લક્ષ્ય બની રહ્યું છે. વેરાકોડ દ્વારા.
આ વેરાકોડ સંશોધકોએ 38.278 એપ્લિકેશનનો અભ્યાસ કર્યા પછી ઉલ્લેખ કર્યો છે 3.866 સંસ્થાઓ દ્વારા વપરાયેલ, તેઓએ તે શોધ્યું પાંચમાંથી બે એપ્લીકેશન હજુ પણ સંવેદનશીલ વર્ઝનનો ઉપયોગ કરે છે Apache Log4j લાઇબ્રેરીની, ગંભીર નબળાઈ જાહેર થયાના બે વર્ષ પછી.
અહેવાલ દર્શાવે છે કે લગભગ ત્રીજા ભાગની એપ્લિકેશનો Log4j2 1.2.x ચલાવે છે (જે ઓગસ્ટ 2015 માં જીવનના અંત સુધી પહોંચ્યું હતું અને હવે પેચ અપડેટ્સ પ્રાપ્ત કરતું નથી) જે 38% રજૂ કરે છે. લેગસી કોડનો ઉપયોગ કરવાનું ચાલુ રાખવાનું મુખ્ય કારણ જૂની લાઇબ્રેરીઓનું પ્રોજેક્ટ્સમાં એકીકરણ અથવા અસમર્થિત શાખાઓમાંથી નવી શાખાઓમાં સ્થળાંતર કરવાની મહેનત છે જે પછાત સુસંગત છે. વધુમાં, 2.8% એપ્લીકેશનો હજુ પણ જાણીતા Log4Shell નબળાઈ માટે સંવેદનશીલ વર્ઝનનો ઉપયોગ કરે છે.
તે ઉપરાંત, તે ઉલ્લેખિત છે કે ત્યાં ત્રણ મુખ્ય શ્રેણીઓ છે વેરાકોડ રિપોર્ટ અનુસાર, Log4j ના સંવેદનશીલ વર્ઝનનો ઉપયોગ કરતી એપ્લિકેશનોમાંથી:
- Log4Shell નબળાઈ (CVE-2021-44228):
2.8% એપ્લિકેશનો 4-beta2.0 થી 9 સુધી Log2.15.0j સંસ્કરણોનો ઉપયોગ કરવાનું ચાલુ રાખે છે, જેમાં જાણીતી નબળાઈ છે. - રિમોટ કોડ એક્ઝિક્યુશન (RCE) નબળાઈ (CVE-2021-44832):
3.8% એપ્લિકેશન્સ Log4j2 2.17.0 સંસ્કરણનો ઉપયોગ કરે છે, જે Log4Shell નબળાઈને સંબોધિત કરે છે, પરંતુ CVE-2021-44832 તરીકે ઓળખાતી રિમોટ કોડ એક્ઝિક્યુશન (RCE) નબળાઈને ઉકેલતી નથી. - Log4j2 1.2.x શાખા (2015 માં પૂર્ણ થયેલ આધાર):
32% એપ્લિકેશનો હજુ પણ Log4j2 1.2.x શાખાનો ઉપયોગ કરે છે, જેનો આધાર 2015 માં સમાપ્ત થયો હતો. આ શાખા નિર્ણાયક નબળાઈઓથી પ્રભાવિત થઈ છે, જેમ કે CVE-2022-23307, CVE-2022-23305 અને CVE-2022-23302, 2022, જાળવણી સમાપ્ત થયાના સાત વર્ષ પછી.
આ ડેટા એવી પરિસ્થિતિઓની વિવિધતાને હાઇલાઇટ કરે છે જેમાં એપ્લિકેશન્સ Log4j ના જૂના અને નબળા સંસ્કરણોનો ઉપયોગ કરવાનું ચાલુ રાખે છે, જે સંશોધકોની નોંધપાત્ર ચિંતા ઊભી કરે છે.
અને ચિંતાજનક હકીકત એ છે કે 3.8% એપ્લિકેશન્સ Log4j2 2.17.0 નો ઉપયોગ કરે છે, જે Log4Shell સામે પેચ કરવામાં આવી હતી, પરંતુ તેમાં CVE-2021-44832 છે, જે અન્ય ઉચ્ચ-ગંભીરતા રિમોટ કોડ એક્ઝિક્યુશન નબળાઈ ધરાવે છે.
અહેવાલ દર્શાવે છે કે, પ્રયત્નો કરવા છતાં તાજેતરના વર્ષોમાં સોફ્ટવેર ડેવલપમેન્ટ અને ઓપન સોર્સના ઉપયોગમાં સુરક્ષા પ્રથાઓને સુધારવા માટે, કરવાનું કામ છે.
વેરાકોડના સંશોધન નિયામક ક્રિસ એન્જી, હાઇલાઇટ કરે છે કે:
વિકાસકર્તાઓની નિર્ણાયક જવાબદારી હોય છે અને જ્યારે ઓપન સોર્સ સોફ્ટવેરની સુરક્ષાની વાત આવે ત્યારે તેમાં સુધારા માટે જગ્યા હોય છે.
જો કે ઘણા વિકાસકર્તાઓએ શરૂઆતમાં વર્ઝન 4 ઇન્સ્ટોલ કરીને Log2.17.0j કટોકટીને યોગ્ય રીતે પ્રતિસાદ આપ્યો હતો, રિપોર્ટ સૂચવે છે કે કેટલાક 2.17.1 ના પ્રકાશનથી આગળના પેચ લાગુ ન કરીને પાછલી પેટર્ન પર પાછા ફર્યા છે.
અપાચે સૉફ્ટવેર ફાઉન્ડેશન (ASF) ડાઉનસ્ટ્રીમ પ્રોજેક્ટ્સને અપડેટ કરવાની તાકીદની સક્રિયપણે સૂચના આપી રહ્યું છે, પરંતુ રિપોર્ટના તારણો સૂચવે છે કે હજી પણ એવી એપ્લિકેશનો છે કે જેણે જરૂરી સુધારાઓ અમલમાં મૂક્યા નથી.
વેરાકોડનો અહેવાલ ઓગસ્ટ 38,000 અને નવેમ્બર 90 વચ્ચેના 15-દિવસના સમયગાળામાં 15 થી વધુ એપ્લિકેશનોના સોફ્ટવેર સ્કેનમાંથી ડેટા પર આધારિત હતો. એપ્લીકેશનો 4 વિવિધ સંસ્થાઓમાં 1.1 થી 3.0.0 આલ્ફા 1 સુધી Log3,866j વર્ઝન ચલાવી રહી હતી.
અમારા સંશોધનમાં એ પણ જાણવા મળ્યું છે કે એકવાર વિકાસકર્તાઓને સ્કેન દ્વારા સંવેદનશીલ લાઇબ્રેરી વિશે ચેતવણી આપવામાં આવે છે, તેઓ તેને પ્રમાણમાં ઝડપથી સુધારે છે: 50 ટકા નબળાઈઓ એકંદરે 89 દિવસમાં, ગંભીરતાની નબળાઈઓ માટે 65 દિવસમાં અને મધ્યમ તીવ્રતાની નબળાઈઓ માટે 107 દિવસમાં નિશ્ચિત કરવામાં આવે છે.
આ પરિણામો અગાઉની ચેતવણીઓ સાથે સુસંગત છે, જેમ કે 2022 ફેડરલ સાયબર સિક્યુરિટી રિવ્યુ બોર્ડ રિપોર્ટ, જે દર્શાવે છે કે Log4j કટોકટીને સંપૂર્ણ રીતે ઉકેલવામાં વર્ષો લાગશે.
આખરે જો તમે છો તેના વિશે વધુ જાણવામાં રસ છે, હું તમને વેરાકોડ બ્લોગ પરના મૂળ લેખની મુલાકાત લેવા આમંત્રણ આપું છું. કડી આ છે.