Log4Shell 是未来十年出现在数据泄露事件中的一种
2023 年的最后一个月标志着 Log4j/Log4Shell 漏洞发现两周年, 该漏洞至今仍在影响许多项目并带来安全风险。
根据 Cloudflare 的年度“年度回顾”报告以及安全研究人员发布的 Veracode 对 Log4j Java 库中关键漏洞相关性的研究结果,Log4j 仍然是网络攻击的主要目标。
MGI Veracode 研究人员提到,在研究了 38.278 个应用程序后 被 3.866 个组织使用,他们发现 五分之二的应用程序仍然使用易受攻击的版本 Apache Log4j 库的重大漏洞公开两年后。
该报告强调,大约三分之一的应用程序运行 Log4j2 1.2.x (于 2015 年 38 月达到生命周期结束,不再接收补丁更新),占 2.8%。继续使用遗留代码的主要原因是将旧库集成到项目中,或者从不受支持的分支迁移到向后兼容的新分支的费力。此外,4% 的应用程序仍然使用容易受到众所周知的 LogXNUMXShell 漏洞影响的版本。
除此之外 据说主要分为三大类 根据 Veracode 报告,仍然使用易受攻击的 Log4j 版本的应用程序:
- Log4Shell 漏洞 (CVE-2021-44228):
2.8% 的应用程序继续使用 Log4j 版本从 2.0-beta9 到 2.15.0,其中包含已知漏洞。 - 远程代码执行 (RCE) 漏洞 (CVE-2021-44832):
3.8%的应用程序使用Log4j2 2.17.0版本,该版本解决了Log4Shell漏洞,但没有解决标识为CVE-2021-44832的远程代码执行(RCE)漏洞。 - Log4j2 1.2.x 分支(2015 年完成支持):
32% 的应用程序仍然使用 Log4j2 1.2.x 分支,该分支的支持于 2015 年结束。该分支受到严重漏洞的影响,例如 CVE-2022-23307、CVE-2022-23305 和 CVE-2022-23302,这些漏洞在2022 年,维护结束七年后。
这些数据凸显了应用程序继续使用过时且易受攻击的 Log4j 版本的情况的多样性,引起了研究人员的严重关注。
令人担忧的事实是,3.8% 的应用程序使用 Log4j2 2.17.0,该版本针对 Log4Shell 进行了修补,但包含另一个高严重性远程代码执行漏洞 CVE-2021-44832。
报告强调, 尽管做出了努力 近年来,为了改进软件开发和开源使用的安全实践, 还有工作要做。
Veracode 研究总监 Chris Eng 强调:
开发人员负有至关重要的责任,并且在开源软件的安全性方面还有改进的空间。
尽管许多开发人员最初通过安装 4 版本来适当应对 Log2.17.0j 危机,但报告表明,一些开发人员通过不应用 2.17.1 版本之后的补丁来恢复到以前的模式。
Apache 软件基金会(ASF)一直在积极向下游项目通报更新的紧迫性,但报告的调查结果表明,仍有一些应用程序尚未实施必要的修复。
Veracode 的报告基于 38,000 月 90 日至 15 月 15 日 4 天内对 1.1 多个应用程序的软件扫描数据。这些应用程序在 3.0.0 个不同的组织中运行从 1 到 3,866 alpha XNUMX 的 LogXNUMXj 版本。
我们的研究还发现,一旦开发人员通过扫描收到易受攻击库的警报,他们就会相对较快地修复它们:50% 的漏洞总共在 89 天内修复,对于高严重性漏洞需要 65 天修复,对于中严重性漏洞需要 107 天修复。
这些结果与之前的警告一致,例如 2022 年联邦网络安全审查委员会报告,该报告表明 Log4j 危机需要数年时间才能完全解决。
最后,如果你是 有兴趣了解更多,我邀请您访问 veracode 博客上的原始文章。 链接是这个。