В новом отчете Veracode говорится о том, что многие компании из разных стран мира до сих пор не исправили критическую уязвимость в Log4j. Эта проблема остаётся актуальной и вызывает обеспокоенность среди специалистов по кибербезопасности.
Специалисты по информационной безопасности из Veracode проанализировали данные, полученные в ходе сканирования программного обеспечения. Анализ проводился с 15 августа по 15 ноября 2023 года. Он охватывал 38 200 уникальных приложений, использующих Log4j версий от 1.1 до 3.0.0-alpha1. В исследовании участвовали 3866 организаций.
Проведённое исследование выявило, что 38% организаций до сих пор используют уязвимые версии Log4j:
- Большая часть из них (32%) применяет Log4j2 1.2.x, содержащий три критические уязвимости: CVE-2022-23307, CVE-2022-23305 и CVE-2022-23302.
- Ещё 3,8% используют Log4j2 2.17.0 с уязвимостью CVE-2021-44832.
- Только 2,8% организаций всё ещё работают с версиями, подверженными уязвимостям Log4Shell: Log4j2 2.0-beta9 до 2.15.0.
Исходная уязвимость Log4Shell (CVE-2021-44228) была впервые обнаружена в ноябре 2021 года. Она сразу же стала предметом обсуждения в СМИ, так как система журналирования Apache используется в огромном количестве приложений – от Apple iCloud до Elasticsearch, а также во многих компонентах с открытым исходным кодом. Эта уязвимость удаленного выполнения кода оказалась относительно легкой для эксплуатации злоумышленниками, поскольку они могли заставить уязвимое приложение регистрировать определённую строку символов.
К марту 2022 года некоторые из худших опасений экспертов по кибербезопасности оправдались. Новое исследование показало, что Log4Shell использовался в качестве первоначального вектора заражения в 31% случаев компрометации.
В Veracode подчеркивают, что, несмотря на успешные масштабные усилия по устранению исходной ошибки Log4j, результаты исследования указывают на необходимость дальнейшей работы в этом направлении. Это обусловлено тем, что многие компании по-прежнему используют уязвимые версии Log4j. При этом Log4Shell, как пример в длинной цепочке призывов к ужесточению мер безопасности в сфере программ с открытым исходным кодом, демонстрирует, что вопрос безопасности все еще актуален и требует дополнительных усилий.
Кроме того, Veracode выражает опасения по поводу того, что многие организации могут не осознавать риски безопасности, связанные с использованием программного обеспечения с открытым исходным кодом, и не знать, как эффективно снизить эти риски.
Полная версия отчета представлена по следующей ссылке.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.