Log4Shell पुढील दशकात डेटा उल्लंघनांमध्ये दिसणार आहे
या आठवड्यात चिन्हांकित Log4j/Log4Shel भेद्यतेच्या शोधाची पहिली वर्धापन दिनl जे Java लॉगिंग लायब्ररीला प्रभावित करते. आणि हे असे आहे की या घटनेला एक वर्ष उलटून गेले असले तरी, Log4j च्या असुरक्षित आवृत्त्यांच्या डाउनलोडची संख्या अजूनही जास्त आहे, कारण सर्व डाउनलोड्सपैकी 30-40% हे उघड आवृत्तीसाठी आहेत.
नुकत्याच नोंदवल्याप्रमाणे, अनेक संस्था असुरक्षित राहतात जरी पॅच केलेल्या आवृत्त्या लवकरच उपलब्ध झाल्या.
ज्यांना अगतिकतेची माहिती नाही, त्यांनी हे जाणून घेतले पाहिजे लक्षणीय आहे कारण हल्ला Java ऍप्लिकेशन्सवर केला जाऊ शकतो जे बाह्य स्त्रोतांकडून प्राप्त केलेली मूल्ये रेकॉर्ड करतात, उदाहरणार्थ, त्रुटी संदेशांमध्ये समस्याप्रधान मूल्ये प्रदर्शित करून.
Log4j भेद्यता ही सर्व संस्थांसाठी एक वेक-अप कॉल होती आणि अनेक सुरक्षा व्यावसायिकांना विसरायला आवडेल असा क्षण होता. तथापि, Log4j चा व्यापक वापर आणि पॅचिंगसाठी अंतर्गत आणि तृतीय-पक्ष सर्व्हरच्या वाढत्या नेटवर्कमुळे, असुरक्षितता दीर्घकाळ जाणवेल.
असे दिसून आले आहे की Apache Struts, Apache Solr, Apache Druid किंवा Apache Flink सारख्या फ्रेमवर्कचा वापर करणारे जवळजवळ सर्व प्रकल्प प्रभावित झाले आहेत ज्यात स्टीम, Apple iCloud, Minecraft क्लायंट आणि सर्व्हर यांचा समावेश आहे.
सोनाटाईप यांनी निर्मिती केली आहे प्रदर्शित करण्यासाठी एक संसाधन केंद्र असुरक्षिततेची सद्यस्थिती, तसेच कंपन्यांना त्यांचा ओपन सोर्स कोड स्कॅन करून त्याचा परिणाम झाला आहे का हे पाहण्यासाठी मदत करणारे साधन.
डॅशबोर्ड Log4j डाउनलोडची टक्केवारी दाखवतो जे अजूनही असुरक्षित आहेत (सध्या गेल्या डिसेंबरपासून सुमारे 34%). हे असुरक्षित डाउनलोडची सर्वाधिक टक्केवारी पाहणारे जगाचे भाग देखील दर्शविते.
सोनाटाइपचे सीटीओ ब्रायन फॉक्स म्हणतात:
Log4j हे सॉफ्टवेअर पुरवठा साखळी सुरक्षित करण्याच्या महत्त्वपूर्ण महत्त्वाची स्पष्ट आठवण होते. हे अक्षरशः सर्व आधुनिक अनुप्रयोगांमध्ये वापरले गेले आणि जगभरातील संस्थांच्या सेवांवर परिणाम झाला. Log4Shell घटनेच्या एक वर्षानंतर, परिस्थिती गंभीर आहे. आमच्या डेटानुसार, सर्व Log30j डाउनलोड्सपैकी 40-4% असुरक्षित आवृत्तीसाठी आहेत, जरी अकाली असुरक्षा प्रकटीकरणाच्या 24 तासांच्या आत पॅच रिलीज झाला.
या व्यतिरिक्त, तो जोडतो की ते आहे:
संस्थांना हे ओळखणे अत्यावश्यक आहे की बहुतेक मुक्त स्त्रोत जोखीम ग्राहकांवर असतात, ज्यांनी सदोष कोडला दोष देण्याऐवजी सर्वोत्तम पद्धतींचा अवलंब केला पाहिजे. Log4j ही एक वेगळी घटना नाही: असुरक्षित ओपन सोर्स घटकांच्या 96% डाउनलोडची पॅच आवृत्ती होती.
संस्थांना चांगली दृश्यमानता आवश्यक आहे त्यांच्या सॉफ्टवेअर पुरवठा साखळीमध्ये वापरल्या जाणार्या प्रत्येक घटकाचा. म्हणूनच दर्जेदार सॉफ्टवेअर रचना विश्लेषण समाधाने आज खूप महत्त्वाची आहेत कारण जग भविष्यात SBOM च्या उपयुक्ततेचा विचार करत आहे.
यूके आणि युरोपीयन सॉफ्टवेअर पॉलिसीमध्ये विनामूल्य सॉफ्टवेअरच्या व्यावसायिक ग्राहकांना विशिष्ट रिकॉलच्या बरोबरीने कार्य करण्यास सक्षम असणे आवश्यक आहे, जसे की कार उद्योगासारख्या भौतिक वस्तूंचे उत्पादक अपेक्षा करतात. सामान्य दृश्यमानता संस्थांना अतिरिक्त फायदे देईल, जसे की त्यावर निर्णय घेण्याची क्षमता.
जसे आपण जातो हे स्पष्ट झाले की हॅकर्स असुरक्षिततेचे शोषण करत राहतील. फेब्रुवारीमध्ये, इराणच्या राज्य-प्रायोजित हॅकर्सनी हा दोष वापरला यूएस सरकारी नेटवर्कमध्ये प्रवेश करण्यासाठी, बेकायदेशीरपणे क्रिप्टोकरन्सीची खाण, क्रेडेन्शियल्स चोरणे आणि पासवर्ड बदलणे. त्यानंतर, ऑक्टोबरमध्ये, चीनी सरकारशी संबंधित एका गटाने मध्यपूर्वेतील देश आणि इलेक्ट्रॉनिक्स उत्पादकासह विविध लक्ष्यांवर हल्ले करण्यासाठी असुरक्षिततेचा वापर केला.
Log4j असुरक्षा आजही एंटरप्राइजेसना प्रभावित करत आहे. ऑक्टोबर 41 पर्यंत जागतिक स्तरावर 2022% संस्थांना प्रभावित करून वेगवेगळ्या सायबरसुरक्षा सल्लागारांकडून आलेल्या धोक्याच्या अहवालांमध्ये ते सातत्याने प्रथम किंवा द्वितीय क्रमांकावर आहे.