Apache Log4j: бомба замедленного действия в сотнях организаций

Недавно исследователями безопасности из компании Veracode было выявлено , что около 38% приложений, использующих библиотеку Apache Log4j, работают на версиях, подверженных множеству уязвимостей безопасности, включая критическую Log4Shell ( CVE-2021-44228 ) максимальной степени серьёзности (CVSS 10 баллов). Несмотря на доступность патчей более двух лет, многие организации продолжают использовать уязвимые версии.

Log4Shell — это уязвимость удалённого выполнения кода (RCE), позволяющая полностью контролировать системы с Log4j 2.0-beta9 до 2.15.0. Эта проблема была обнаружена в качестве активно эксплуатируемого нулевого дня 10 декабря 2021 года. Её широкое влияние, лёгкость эксплуатации и серьёзные последствия для безопасности вызвали повышенный интерес злоумышленников.

Несмотря на многочисленные предупреждения и активную кампанию по информированию, значительное количество организаций продолжало использовать уязвимые версии даже после выпуска патчей.

Анализируя данные с 15 августа по 15 ноября, исследователи Veracode обнаружили, что около 38% приложений все ещё используют небезопасные версии Log4j. Исследование охватывало 3866 организаций с 38278 приложениями, зависимыми от Log4j версий с 1.1 по 3.0.0-alpha1.

Из них 2,8% используют варианты Log4J от 2.0-beta9 до 2.15.0, непосредственно уязвимые для Log4Shell. Ещё 3,8% используют Log4j 2.17.0, которая, хотя и не подвержена Log4Shell, уязвима для CVE-2021-44832. При этом 32% используют версию Log4j 1.2.x, поддержка которой завершилась в августе 2015 года и которая уязвима для нескольких серьёзных уязвимостей, опубликованных до 2022 года.

Кроме того, исследование показало, что 79% разработчиков никогда не обновляют сторонние библиотеки после их первоначального включения в код, чтобы избежать нарушения функциональности, даже несмотря на то, что 65% обновлений открытого кода содержат незначительные изменения и исправления.

Veracode отмечает, что Log4Shell не стал тем «побудительным звонком», на который надеялись многие в индустрии безопасности. Log4j по-прежнему остаётся источником риска примерно в одном из трех случаев и может быть одним из множества способов, которыми злоумышленники могут скомпрометировать цель.

Всем компаниям, использующим Log4j или подобные библиотеки, рекомендуется просканировать свою среду, определить используемые версии библиотек с открытым исходным кодом, а затем разработать план «безболезненного» обновления всех из них до безопасных версий.