Veracode的报告显示,两年后,仍有38%的组织未能修复Log4j中的严重漏洞,尤其是Log4j21.2版本。Log4Shell曾引发大规模攻击,目前仍有超过三分之一的应用程序面临风险,强调了加强开源安全实践的必要性。
根据Veracode的说法,在流行的实用程序Log4j中发现了一个最严重的错误两年后,各组织仍然暴露在漏洞中。
应用安全供应商分析了2023年8月15日至11月15日期间90天内的软件扫描数据。这些研究涵盖了3866个组织中运行Log4j 1.1到3.0.0-alpha1版本的38278个独特应用程序。
供应商发现38%的人仍然在使用易受攻击的Log4j版本。其中大多数(32%)运行的是Log4j2 1.2。该漏洞包含三个关键漏洞分别是CVE-2022-23307、CVE-2022-23305和CVE-2022-23302。
还有3.8%运行Log4j2 2.17.0,其中包含CVE-2021-44832。只有2.8%仍在使用暴露于Log4Shell漏洞的版本Log4j2 2.0-beta9到2.15.0。
最初的Log4Shell漏洞(CVE-2021-44228)于2021年11月首次被发现,并立即成为头条新闻,因为它所发现的Apache日志系统被用于从Apple iCloud到Elasticsearch的大量应用程序以及众多开源组件。
远程代码执行漏洞本身也相对容易被威胁参与者利用,只要他们可以迫使易受攻击的应用程序记录特定的字符串。
到今年3月,新的研究表明,Log4Shell已被用作31%的攻击的初始感染载体,安全社区的一些最严重的担忧成为现实。
Veracode认为,尽管为修补最初的Log4j错误所做的大量努力已经取得了成功,但它的发现表明,仍有一段路要走。
它说:“如果Log4Shell是采取更严格的开源安全实践的一系列警钟中的另一个例子,那么目前超过三分之一的应用程序运行易受攻击的Log4j版本这一事实表明还有更多的工作要做。这里的主要收获是,组织可能没有意识到他们面临多少开源安全风险,以及如何减轻风险。“
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
