Log4Shell — один из тех, кто появится в утечках данных в следующем десятилетии
На этой неделе отмечается первая годовщина обнаружения уязвимости Log4j/Log4Shell, который влияет на библиотеку протоколирования Java. И дело в том, что, несмотря на то, что с момента инцидента прошел год, количество загрузок уязвимых версий Log4j по-прежнему велико, поскольку, по подсчетам, около 30-40% всех загрузок приходится на незащищенную версию.
Как недавно сообщалось, многие организации остаются уязвимыми хотя вскоре стали доступны исправленные версии.
Те, кто не знает об уязвимости, должны знать, что примечателен тем, что атака может быть осуществлена на Java-приложения которые записывают значения, полученные из внешних источников, например, отображая проблемные значения в сообщениях об ошибках.
Уязвимость Log4j стала тревожным звонком для всех организаций и моментом, о котором многие специалисты по безопасности хотели бы забыть. Однако с широким использованием Log4j и растущей сетью внутренних и сторонних серверов для установки исправлений уязвимость будет ощущаться еще долгое время.
Замечено, что затронуты почти все проекты, использующие такие фреймворки, как Apache Struts, Apache Solr, Apache Druid или Apache Flink, включая клиенты и серверы Steam, Apple iCloud, Minecraft.
Sonatype выпустила ресурсный центр для отображения текущее состояние уязвимости, а также инструмент, помогающий компаниям сканировать свой открытый исходный код, чтобы увидеть, не затронут ли он.
Панель инструментов показывает процент загрузок Log4j, которые все еще уязвимы (в настоящее время около 34% с декабря прошлого года). Он также показывает части мира, в которых наблюдается самый высокий процент уязвимых загрузок.
Брайан Фокс, технический директор Sonatype, говорит:
Log4j стал ярким напоминанием о критической важности защиты цепочки поставок программного обеспечения. Он использовался практически во всех современных приложениях и затронул службы организаций по всему миру. Спустя год после инцидента с Log4Shell ситуация остается мрачной. По нашим данным, 30-40% всех загрузок Log4j приходится на уязвимую версию, несмотря на то, что патч был выпущен в течение 24 часов после преждевременного обнаружения уязвимости.
В дополнение к этому он добавляет, что это:
Для организаций крайне важно признать, что большинство рисков с открытым исходным кодом лежит на потребителях, которые должны перенимать лучшие практики, а не обвинять ошибочный код. Log4j — не единичный случай: 96% загрузок уязвимых компонентов с открытым исходным кодом имели исправленную версию.
Организациям нужна лучшая видимость каждого компонента, используемого в их цепочках поставок программного обеспечения. Вот почему качественные решения для анализа состава программного обеспечения так важны сегодня, поскольку мир размышляет о полезности SBOM в будущем.
Политика Великобритании и Европы в отношении программного обеспечения должна требовать, чтобы коммерческие потребители бесплатного программного обеспечения были в состоянии выполнить эквивалент конкретного отзыва, как того ожидают производители физических товаров, такие как автомобильная промышленность. Общая видимость предоставит организациям дополнительные преимущества, например, возможность принимать решения.
Как мы идем стало ясно, что хакеры продолжат использовать уязвимость. В феврале уязвимостью воспользовались иранские хакеры, спонсируемые государством. для входа в правительственную сеть США, незаконно майнить криптовалюту, красть учетные данные и менять пароли. Затем, в октябре, группа, связанная с правительством Китая, использовала уязвимость для проведения атак на различные цели, включая ближневосточную страну и производителя электроники.
Уязвимость Log4j продолжает влиять на предприятия и сегодня.. Он неизменно занимает первое или второе место в отчетах об угрозах от различных консультантов по кибербезопасности, затрагивая 41% организаций по всему миру по состоянию на октябрь 2022 года.