Log4Shell är en som kommer att dyka upp i dataintrång under det kommande decenniet
Denna vecka markerar första årsdagen av upptäckten av log4j/Log4Shel sårbarhetenl som påverkar Java-loggningsbiblioteket. Och det är att trots att det har gått ett år sedan händelsen är antalet nedladdningar av sårbara versioner av Log4j fortfarande högt, eftersom det har beräknats att 30-40% av alla nedladdningar är för den exponerade versionen.
Som nyligen rapporterats, många organisationer är fortfarande sårbara även om korrigerade versioner snart blev tillgängliga.
För de som inte är medvetna om sårbarhet borde de veta det är anmärkningsvärt eftersom attacken kan utföras på Java-applikationer som registrerar värden som erhållits från externa källor, till exempel genom att visa problematiska värden i felmeddelanden.
Log4j-sårbarheten var en väckarklocka för alla organisationer och ett ögonblick som många säkerhetspersonal skulle vilja glömma. Men med den utbredda användningen av Log4j och ett växande nätverk av interna och tredjepartsservrar för patchning kommer sårbarheten att märkas under lång tid.
Det observeras att nästan alla projekt som använder ramverk som Apache Struts, Apache Solr, Apache Druid eller Apache Flink påverkas inklusive Steam, Apple iCloud, Minecraft-klienter och servrar.
Sonatype har producerat ett resurscenter att visa det nuvarande sårbarheten, samt ett verktyg som hjälper företag att skanna sin öppna källkod för att se om den är påverkad.
Instrumentpanelen visar andelen Log4j-nedladdningar som fortfarande är sårbara (för närvarande cirka 34 % sedan december förra året). Den visar också de delar av världen som har sett den högsta andelen sårbara nedladdningar.
Brian Fox, CTO för Sonatype, säger:
Log4j var en stark påminnelse om den avgörande betydelsen av att säkra mjukvaruförsörjningskedjan. Det användes i praktiskt taget alla moderna applikationer och påverkade tjänsterna hos organisationer runt om i världen. Ett år efter Log4Shell-incidenten är situationen fortfarande dyster. Enligt våra uppgifter är 30-40% av alla Log4j-nedladdningar för den sårbara versionen, även om en patch släpptes inom 24 timmar efter att sårbarheten avslöjades i förtid.
Utöver detta tillägger han att det är:
Det är absolut nödvändigt för organisationer att inse att de flesta riskerna med öppen källkod ligger hos konsumenterna, som bör anamma bästa praxis snarare än att skylla på felaktig kod. Log4j är inte en isolerad incident: 96 % av nedladdningarna av sårbara komponenter med öppen källkod hade en korrigerad version.
Organisationer behöver bättre synlighet av varje komponent som används i deras mjukvaruförsörjningskedjor. Det är därför kvalitetslösningar för analys av mjukvarusammansättning är så viktiga idag då världen överväger användbarheten av SBOM i framtiden.
Den brittiska och europeiska mjukvarupolicyn bör kräva att kommersiella konsumenter av fri programvara ska kunna utföra motsvarande ett specifikt återkallande, precis som tillverkare av fysiska varor som bilindustrin förväntar sig. Allmän synlighet kommer att ge organisationer ytterligare fördelar, såsom förmågan att fatta beslut om det.
När vi går det stod klart att hackare skulle fortsätta att utnyttja sårbarheten. I februari använde iranska statssponsrade hackare felet att gå in i ett amerikanskt regeringsnätverk, olagligt bryta kryptovaluta, stjäla referenser och byta lösenord. Sedan, i oktober, använde en grupp associerad med den kinesiska regeringen sårbarheten för att starta attacker mot olika mål, inklusive ett land i Mellanöstern och en elektroniktillverkare.
Log4j-sårbarheten fortsätter att påverka företag idag. Den rankas konsekvent på första eller andra plats i hotrapporter från olika cybersäkerhetskonsulter, och påverkar 41 % av organisationerna globalt från och med oktober 2022.