Log4Shell, önümüzdeki on yılda veri ihlallerinde görünecek olanlardan biri
Bu hafta Log4j/Log4Shel güvenlik açığının keşfinin birinci yıldönümüJava günlük kitaplığını etkileyen l. Ve olaydan bu yana bir yıl geçmesine rağmen, Log4j'nin savunmasız sürümlerinin indirilme sayısı hala yüksektir, çünkü tüm indirmelerin yaklaşık %30-40'ının açığa çıkan sürüm için olduğu hesaplanmıştır.
Yakın zamanda bildirildiği üzere, birçok kuruluş savunmasız durumda yamalı sürümler yakında kullanıma sunulsa da.
Güvenlik açığının farkında olmayanlar için şunu bilmeliler: Java uygulamaları üzerinde gerçekleştirilebileceği için dikkat çekicidir. örneğin hata mesajlarında problemli değerleri göstererek dış kaynaklardan elde edilen değerleri kaydeden.
Log4j güvenlik açığı, tüm kuruluşlar için bir uyandırma çağrısıydı ve birçok güvenlik uzmanının unutmak isteyeceği bir an. Bununla birlikte, Log4j'nin yaygın kullanımı ve yama için büyüyen dahili ve üçüncü taraf sunucu ağı ile güvenlik açığı uzun süre hissedilecek.
Steam, Apple iCloud, Minecraft istemcileri ve sunucuları dahil olmak üzere Apache Struts, Apache Solr, Apache Druid veya Apache Flink gibi çerçeveleri kullanan hemen hemen tüm projelerin etkilendiği görülmektedir.
sonatype üretti görüntülenecek bir kaynak merkezi mevcut güvenlik açığı durumu, yanı sıra şirketlerin etkilenip etkilenmediğini görmek için açık kaynak kodlarını taramalarına yardımcı olan bir araç.
Pano, hala güvenlik açığı bulunan Log4j indirmelerinin yüzdesini gösterir (geçen Aralık ayından bu yana şu anda yaklaşık %34). Ayrıca, dünyanın savunmasız indirmelerin en yüksek yüzdesini gören bölgelerini de gösterir.
Sonatype CTO'su Brian Fox şöyle diyor:
Log4j, yazılım tedarik zincirinin güvenliğini sağlamanın kritik öneminin kesin bir hatırlatıcısıydı. Neredeyse tüm modern uygulamalarda kullanıldı ve dünya çapındaki kuruluşların hizmetlerini etkiledi. Log4Shell olayından bir yıl sonra durum içler acısı olmaya devam ediyor. Verilerimize göre, tüm Log30j indirmelerinin %40-4'ı güvenlik açığının erken ifşa edilmesinden sonraki 24 saat içinde bir yama yayımlanmış olmasına rağmen güvenlik açığı bulunan sürüm içindir.
Bunun yanında şunu da ekler:
Kuruluşların, açık kaynak risklerinin çoğunun, hatalı kodu suçlamak yerine en iyi uygulamaları benimsemesi gereken tüketicilerde olduğunu kabul etmesi zorunludur. Log4j münferit bir olay değildir: Savunmasız açık kaynak bileşenlerinin indirilmesinin %96'sında yamalı bir sürüm vardı.
Kuruluşların daha iyi görünürlüğe ihtiyacı var yazılım tedarik zincirlerinde kullanılan her bileşenin Bu nedenle, dünya gelecekte SBOM'ların faydasını düşünürken, kaliteli yazılım kompozisyon analizi çözümlerinin bugün çok önemli olmasının nedeni budur.
BK ve Avrupa yazılım politikası, tıpkı otomobil endüstrisi gibi fiziksel ürün üreticilerinin beklediği gibi, özgür yazılımın ticari tüketicilerinin belirli bir geri çağırmanın eşdeğerini gerçekleştirebilmelerini gerektirmelidir. Genel görünürlük, kuruluşlara bu konuda karar verme yeteneği gibi ek faydalar sağlayacaktır.
Biz devam ederken bilgisayar korsanlarının güvenlik açığından yararlanmaya devam edeceği netleşti. Şubat ayında, İran devlet destekli bilgisayar korsanları bu açığı kullandı. bir ABD hükümet ağına girmek için, yasadışı olarak kripto para madenciliği yapın, kimlik bilgilerini çalın ve şifreleri değiştirin. Ardından, Ekim ayında, Çin hükümetiyle ilişkili bir grup, bir Orta Doğu ülkesi ve bir elektronik üreticisi de dahil olmak üzere çeşitli hedeflere saldırılar başlatmak için bu güvenlik açığını kullandı.
Log4j güvenlik açığı günümüzde işletmeleri etkilemeye devam ediyor. Ekim 41 itibarıyla dünya çapındaki kuruluşların %2022'ini etkileyen farklı siber güvenlik danışmanlık şirketlerinden gelen tehdit raporlarında sürekli olarak birinci veya ikinci sırada yer alıyor.