Log4Shell은 향후 XNUMX년 동안 데이터 유출에 나타날 것입니다.
이번주는 Log4j/Log4Shel 취약점 발견 XNUMX주년l Java 로깅 라이브러리에 영향을 줍니다. 그리고 사건이 발생한 지 4년이 지났음에도 불구하고 전체 다운로드의 약 30-40%가 노출된 버전에 대한 것으로 계산되었기 때문에 LogXNUMXj 취약 버전의 다운로드 수는 여전히 높습니다.
최근 보도된 바와 같이, 많은 조직이 취약한 상태로 남아 있습니다. 패치된 버전이 곧 사용 가능해졌음에도 불구하고.
취약성을 모르는 사람들은 다음을 알아야 합니다. 공격이 Java 응용 프로그램에서 수행될 수 있기 때문에 주목할 만합니다. 예를 들어 오류 메시지에 문제가 있는 값을 표시하여 외부 소스에서 얻은 값을 기록합니다.
Log4j 취약점은 모든 조직에 경종을 울렸고 많은 보안 전문가들이 잊고 싶어하는 순간이었습니다. 그러나 Log4j의 광범위한 사용과 패칭을 위한 내부 및 타사 서버 네트워크의 증가로 인해 취약점은 오랫동안 느껴질 것입니다.
Steam, Apple iCloud, Minecraft 클라이언트 및 서버를 포함하여 Apache Struts, Apache Solr, Apache Druid 또는 Apache Flink와 같은 프레임워크를 사용하는 거의 모든 프로젝트가 영향을 받는 것으로 관찰되었습니다.
소나타이프가 생산한 표시할 리소스 센터 현재 취약한 상태, 뿐만 아니라 회사가 오픈 소스 코드를 스캔하여 영향을 받는지 확인하는 데 도움이 되는 도구입니다.
대시보드는 여전히 취약한 Log4j 다운로드의 비율을 보여줍니다(지난 34월 이후 현재 약 XNUMX%). 또한 취약한 다운로드 비율이 가장 높은 지역을 보여줍니다.
Sonatype의 CTO인 Brian Fox는 다음과 같이 말합니다.
Log4j는 소프트웨어 공급망 보안의 중요성을 극명하게 상기시켜 주었습니다. 거의 모든 최신 응용 프로그램에서 사용되었으며 전 세계 조직의 서비스에 영향을 미쳤습니다. Log4Shell 사건이 발생한 지 30년이 지난 지금도 상황은 암울합니다. 우리의 데이터에 따르면 모든 Log40j 다운로드의 4-24%는 취약점이 조기에 공개된 후 XNUMX시간 이내에 패치가 릴리스되었음에도 불구하고 취약한 버전에 대한 것입니다.
이에 덧붙여 그는 다음과 같이 덧붙인다.
조직은 대부분의 오픈 소스 위험이 잘못된 코드를 탓하기보다 모범 사례를 채택해야 하는 소비자에게 있음을 인식해야 합니다. Log4j는 고립된 사건이 아닙니다. 취약한 오픈 소스 구성 요소 다운로드의 96%에 패치 버전이 있었습니다.
조직에는 더 나은 가시성이 필요합니다 소프트웨어 공급망에서 사용되는 모든 구성 요소. 이것이 세계가 미래에 SBOM의 유용성을 고려함에 따라 오늘날 품질 소프트웨어 구성 분석 솔루션이 매우 중요한 이유입니다.
영국과 유럽의 소프트웨어 정책은 자유 소프트웨어의 상업적 소비자가 자동차 산업과 같은 물리적 제품 제조업체가 기대하는 것처럼 특정 리콜과 동등한 조치를 수행할 수 있도록 요구해야 합니다. 일반적인 가시성은 이에 대한 결정을 내리는 능력과 같은 조직에 추가적인 이점을 부여합니다.
우리가 가는 대로 해커가 계속해서 이 취약점을 악용할 것이 분명해졌습니다. 지난 XNUMX월, 이란 정부의 지원을 받는 해커들이 이 결함을 악용했습니다. 미국 정부 네트워크에 진입하기 위해 불법적으로 암호 화폐를 채굴하고 자격 증명을 훔치고 암호를 변경합니다. 그리고 XNUMX월에는 중국 정부와 관련된 그룹이 이 취약점을 악용하여 중동 국가 및 전자 제조업체를 포함한 다양한 대상에 대한 공격을 시작했습니다.
Log4j 취약점은 오늘날 기업에 계속 영향을 미치고 있습니다.. 41년 2022월 현재 전 세계 조직의 XNUMX%에 영향을 미치며 다양한 사이버 보안 컨설팅 업체의 위협 보고서에서 지속적으로 XNUMX위 또는 XNUMX위를 차지했습니다.