Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Исправленная 2 года назад уязвимость в Apache Log4j до сих пор актуальна для 38% приложений

12/12/23

Apache-Alert

Недавно исследователями безопасности из компании Veracode было выявлено, что около 38% приложений, использующих библиотеку Apache Log4j, работают на версиях, подверженных множеству уязвимостей безопасности, включая критическую Log4Shell ( CVE-2021-44228 ) максимальной степени серьёзности (CVSS 10 баллов). Несмотря на доступность патчей более двух лет, многие организации продолжают использовать уязвимые версии.

Log4Shell — это уязвимость удалённого выполнения кода (RCE), позволяющая полностью контролировать системы с Log4j 2.0-beta9 до 2.15.0. Эта проблема была обнаружена в качестве активно эксплуатируемого нулевого дня 10 декабря 2021 года. Её широкое влияние, лёгкость эксплуатации и серьёзные последствия для безопасности вызвали повышенный интерес злоумышленников, пишет Securitylab.

Несмотря на многочисленные предупреждения и активную кампанию по информированию, значительное количество организаций продолжало использовать уязвимые версии даже после выпуска патчей.

Анализируя данные с 15 августа по 15 ноября, исследователи Veracode обнаружили, что около 38% приложений все ещё используют небезопасные версии Log4j. Исследование охватывало 3866 организаций с 38278 приложениями, зависимыми от Log4j версий с 1.1 по 3.0.0-alpha1.

Из них 2,8% используют варианты Log4J от 2.0-beta9 до 2.15.0, непосредственно уязвимые для Log4Shell. Ещё 3,8% используют Log4j 2.17.0, которая, хотя и не подвержена Log4Shell, уязвима для CVE-2021-44832. При этом 32% используют версию Log4j 1.2.x, поддержка которой завершилась в августе 2015 года и которая уязвима для нескольких серьёзных уязвимостей, опубликованных до 2022 года.

Кроме того, исследование показало, что 79% разработчиков никогда не обновляют сторонние библиотеки после их первоначального включения в код, чтобы избежать нарушения функциональности, даже несмотря на то, что 65% обновлений открытого кода содержат незначительные изменения и исправления.

Veracode отмечает, что Log4Shell не стал тем «побудительным звонком», на который надеялись многие в индустрии безопасности. Log4j по-прежнему остаётся источником риска примерно в одном из трех случаев и может быть одним из множества способов, которыми злоумышленники могут скомпрометировать цель.

Всем компаниям, использующим Log4j или подобные библиотеки, рекомендуется просканировать свою среду, определить используемые версии библиотек с открытым исходным кодом, а затем разработать план «безболезненного» обновления всех из них до безопасных версий.

Темы:приложенияУгрозыApacheVeracode
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...