Log4j עדיין דאגת אבטחה עבור עסקים בכל מקום

למרות שזה התגלה ותוקן לפני שנתיים, הפגיעות של Log4j עדיין מהווה איום גדול על עסקים בכל מקום, כך טען מחקר חדש.

דוח של Veracode טען שעסקים פשוט אינם חרוצים מספיק בכל הנוגע לתיקון נקודות הקצה שלהם, לאחר שניתחו נתונים מסריקות תוכנה במשך 90 ימים בין ה-15 באוגוסט ל-15 בנובמבר 2023, עבור 38,278 יישומים ייחודיים המריצים את גרסאות Log4j 1.1 עד 3.00- אלפא 1, על פני 3,866 ארגונים.

הנתונים הראו שכמעט שניים מתוך חמישה (38%) מהיישומים מריצים כיום גרסאות פגיעות של Log4j: 2.8% מריצים את Log4j עם נקודות התורפה של Log4Shell (Log4j2 2.0-beta9 עד 2.15.0), 3.8% מריצים את Log4j2 2.17.0, אשר תוקן כנגד הפגיעות Log4Shell אך מכיל CVE-2021-44832, ו-32% משתמשים ב-Log4j2 1.2.x, גרסה שהגיעה לסוף חייה באוגוסט 2015 ולכן אינה נתמכת עוד עם תיקונים. לפני כמעט שנתיים, בינואר 2022, אמרה Apache שגרסה זו מכילה שלוש נקודות תורפה קריטיות: CVE-2022-23307, CVE-2022-23305 ו-CVE-2022-23302.

"מאמץ אדיר"

בעוד שהנתונים מצביעים על "מאמץ מסיבי" לתקן את הפגיעות של Log4Shell ולהפחית את הסיכונים של תוכנות זדוניות המנצלות לרעה את יום האפס, יש עדיין הרבה מקום לשיפור, אפילו שנתיים לאחר הגילוי, סיכם Veracode. 

"אם Log4Shell הייתה דוגמה נוספת בסדרה ארוכה של קריאות השכמה לאימוץ נוהלי אבטחה מחמירים יותר בקוד פתוח, העובדה שיותר מ-1 מתוך 3 יישומים מריצים כיום גרסאות פגיעות של Log4j מראה שיש עוד עבודה לעשות." 

החוקרים של Veracode הגיעו למסקנה שארגונים רבים כנראה אפילו לא מודעים לכמות הסיכון שהם חשופים אליהם בעת שילוב תוכנות קוד פתוח. 

דוח נפרד של אותה חברה מצא שכמעט 80% מהמקרים מפתחים לעולם אינם מעדכנים ספריות של צד שלישי לאחר הכללתן בבסיס קוד, מה שיכול להסביר מדוע יש כל כך הרבה מקרים של קוד Log4j מיושן שעדיין נמצא בשימוש.