Log4 在发现一年后仍然是一个问题 

日志4j

Log4Shell 是未来十年出现在数据泄露事件中的一种

本周标志着 Log4j/Log4Shel 漏洞发现一周年l 影响Java日志记录库。 而且,尽管事件已经过去一年,但 Log4j 易受攻击版本的下载量仍然很高,因为据计算,大约 30-40% 的下载量是针对暴露版本的。

据最近报道, 许多组织仍然脆弱 即使补丁版本很快就可用了。

对于那些不知道脆弱性的人,他们应该知道 值得注意,因为攻击可以在 Java 应用程序上进行 记录从外部来源获得的值,例如,通过在错误消息中显示有问题的值。

Log4j 漏洞为所有组织敲响了警钟,许多安全专业人员都希望忘记这一时刻。 但是,随着 Log4j 的广泛使用以及越来越多的用于修补的内部和第三方服务器网络,该漏洞将长期存在。

据观察,几乎所有使用 Apache Struts、Apache Solr、Apache Druid 或 Apache Flink 等框架的项目都受到影响,包括 Steam、Apple iCloud、Minecraft 客户端和服务器。

Sonatype 已经产生 要显示的资源中心 当前的漏洞状态, 以及帮助公司扫描其开源代码以查看其是否受到影响的工具。

仪表板显示仍然易受攻击的 Log4j 下载百分比(自去年 34 月以来目前约为 XNUMX%)。 它还显示了世界上易受攻击的下载百分比最高的地区。

Sonatype 的首席技术官 Brian Fox 说:

Log4j 清楚地提醒人们保护软件供应链的重要性。 它几乎用于所有现代应用程序,并影响了世界各地组织的服务。 Log4Shell事件发生一年后,形势依然严峻。 根据我们的数据,尽管在过早漏洞披露后的 30 小时内发布了补丁,但所有 Log40j 下载的 4-24% 都是针对易受攻击的版本。

除此之外,他补充说:

组织必须认识到大多数开源风险都与消费者有关,他们应该采用最佳实践而不是责怪错误的代码。 Log4j 并非孤立事件:96% 的易受攻击开源组件的下载都有补丁版本。

组织需要更好的可见性 他们的软件供应链中使用的每个组件。 这就是为什么高质量的软件组成分析解决方案在当今世界如此重要,因为世界正在考虑未来 SBOM 的实用性。

英国和欧洲的软件政策应该要求免费软件的商业消费者能够进行相当于特定召回的行动,正如汽车行业等实体商品制造商所期望的那样。 一般可见性将为组织带来额外的好处,例如据此做出决策的能力。

当我们去 很明显,黑客将继续利用该漏洞。 XNUMX 月,伊朗国家资助的黑客利用了该漏洞 进入美国政府网络, 非法开采加密货币、窃取凭证和更改密码。 随后,在 XNUMX 月,一个与中国政府有关联的组织利用该漏洞对多个目标发起了攻击,其中包括一个中东国家和一家电子产品制造商。

Log4j 漏洞今天继续影响企业. 它在不同网络安全咨询公司的威胁报告中一直排名第一或第二,截至 41 年 2022 月影响了全球 XNUMX% 的组织。


成为第一个发表评论

发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责资料:AB Internet Networks 2008 SL
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。