Log4 je stále problém, rok po jeho objevení 

log4j

Log4Shell je jedním z těch, kteří se během příštího desetiletí objeví v narušení dat

Tento týden značí první výročí objevení zranitelnosti Log4j/Log4Shell, který ovlivňuje knihovnu protokolování Java. A je to tak, že i když od incidentu uplynul rok, počet stažení zranitelných verzí Log4j je stále vysoký, protože podle odhadů se 30–40 % všech stažení týká exponované verze.

Jak bylo nedávno oznámeno, mnoho organizací zůstává zranitelných i když opravené verze byly brzy k dispozici.

Pro ty, kteří si neuvědomují zranitelnost, by to měli vědět je pozoruhodný, protože útok lze provést na Java aplikace které zaznamenávají hodnoty získané z externích zdrojů, například zobrazováním problematických hodnot v chybových zprávách.

Chyba zabezpečení Log4j byla probuzením pro všechny organizace a okamžikem, na který by mnozí bezpečnostní profesionálové rádi zapomněli. S rozšířeným používáním Log4j a rostoucí sítí interních serverů a serverů třetích stran pro opravy však bude zranitelnost pociťována ještě dlouho.

Bylo zjištěno, že jsou ovlivněny téměř všechny projekty využívající frameworky jako Apache Struts, Apache Solr, Apache Druid nebo Apache Flink, včetně Steam, Apple iCloud, klientů a serverů Minecraft.

Sonatype vyrobil centrum zdrojů k zobrazení aktuální stav zranitelnosti, a také nástroj, který pomáhá společnostem skenovat jejich open source kód, aby zjistil, zda je ovlivněn.

Panel zobrazuje procento stažení Log4j, které jsou stále zranitelné (aktuálně přibližně 34 % od loňského prosince). Zobrazuje také části světa, které zaznamenaly nejvyšší procento zranitelných stahování.

Brian Fox, technický ředitel společnosti Sonatype, říká:

Log4j byl jasnou připomínkou kritického významu zabezpečení dodavatelského řetězce softwaru. Používal se prakticky ve všech moderních aplikacích a ovlivnil služby organizací po celém světě. Rok po incidentu Log4Shell je situace stále ponurá. Podle našich údajů se 30–40 % všech stažení Log4j týká zranitelné verze, přestože oprava byla vydána do 24 hodin od předčasného odhalení zranitelnosti.

Kromě toho dodává, že je to:

Pro organizace je naprosto nezbytné, aby uznaly, že většina rizik s otevřeným zdrojovým kódem leží na spotřebitelích, kteří by měli spíše přijmout osvědčené postupy, než obviňovat chybný kód. Log4j není izolovaný incident: 96 % stažení zranitelných open source komponent mělo opravenou verzi.

Organizace potřebují lepší viditelnost všech komponent používaných v jejich dodavatelských řetězcích softwaru. To je důvod, proč jsou kvalitní řešení analýzy složení softwaru dnes tak důležitá, protože svět uvažuje o užitečnosti SBOM v budoucnosti.

Britská a evropská softwarová politika by měla vyžadovat, aby komerční spotřebitelé svobodného softwaru byli schopni provést ekvivalent konkrétního stažení z trhu, stejně jako výrobci fyzického zboží, jako je automobilový průmysl, očekávají. Obecná viditelnost poskytne organizacím další výhody, jako je schopnost o ní rozhodovat.

Jak jdeme bylo jasné, že hackeři budou tuto zranitelnost nadále využívat. V únoru chybu využili íránští státem podporovaní hackeři vstoupit do americké vládní sítě, nelegálně těžit kryptoměnu, krást přihlašovací údaje a měnit hesla. V říjnu pak skupina spojená s čínskou vládou využila zranitelnosti k útokům proti různým cílům, včetně blízkovýchodní země a výrobce elektroniky.

Chyba zabezpečení Log4j i dnes ovlivňuje podniky. Trvale zaujímá první nebo druhé místo ve zprávách o hrozbách od různých poradenských společností v oblasti kybernetické bezpečnosti, které v říjnu 41 postihují 2022 % organizací na celém světě.


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Za data odpovídá: AB Internet Networks 2008 SL
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.