현대 기술은 우리에게 많은 것을 제공합니다.

Log30J 애플리케이션의 4% 이상이 취약한 버전의 라이브러리를 사용합니다.


Περή το 38% των εφαρμογών που χρησιμοποιούν τη βιβλιοθήκη Apache Log4j χρησιμοποιούν α έκδοση ευάλωτη σε ζητήματα ασφαλείας, συμπεριλαμβανομένου του Log4Shell, μιας κρίσιμης ευπάθειας που προσδιορίζεται ως CVE-2021-44228 που φέρει τη μέγιστη βαθμολογία σοβαρότητας, παρά τις διαθέσιμες ενημερώσεις κώδικα για περισσότερα από δύο χρόνια.

Log4Shell είναι ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα (RCE) χωρίς έλεγχο ταυτότητας που επιτρέπει τον πλήρη έλεγχο συστημάτων με Log4j 2.0-beta9 και έως 2.15.0.

이 결함은 10년 2021월 XNUMX일 적극적으로 악용된 제로데이로 발견되었으며, 이 결함의 광범위한 영향, 악용 용이성 및 대규모 보안 영향은 위협 행위자들에게 공개적인 초대로 작용했습니다.

Η περίσταση προκάλεσε μια εκτεταμένη εκστρατεία για την ειδοποίηση των επηρεαζόμενων συντηρητών έργων και των διαχειριστών συστημάτων, αλλά παρά τις πολυάριθμες προειδοποιήσεις, σημαντικός αριθμός οργανισμών συνέχισε να χρησιμοποιεί ευάλωτες εκδόσεις πολύ καιρό μετά τη διάθεση των ενημερώσεων κώδικα.

취약점이 공개되고 패치가 출시된 지 4년이 지났지만 여전히 LogXNUMXShell에 취약한 대상이 많이 있습니다.

15월 15일부터 XNUMX월 XNUMX일 사이에 수집된 데이터를 기반으로 한 애플리케이션 보안 회사인 Veracode의 보고서는 오래된 문제가 장기간 지속될 수 있음을 강조합니다.

고정된 공격 표면

Veracode는 버전 90과 3.866-alpha38.278 사이의 Log4j 기반 애플리케이션 1.1개를 사용하여 3.0.0개 조직에서 1일간의 데이터를 수집했습니다.

이러한 애플리케이션 중 2,8%는 Log4Shell에 직접적으로 취약한 Log2.0J 변종 9-beta2.15.0~4을 사용합니다.

또 다른 3,8%는 Log4j 2.17.0을 사용하는데, 이는 Log4Shell에 취약하지는 않지만 프레임워크 버전 2021에서 수정된 원격 코드 실행 결함인 CVE-44832-2.17.1에 취약합니다.

마지막으로 32%는 4년 1.2월 이후 지원이 종료된 Log2015j 버전 2022.x를 사용합니다. 이러한 버전은 CVE-2022-23307, CVE-2022-23305 및 CVE-2022-를 포함하여 23302년까지 게시된 여러 중요한 취약점에 취약합니다. XNUMX.

전체적으로 Veracode는 표시되는 애플리케이션 중 약 38%가 안전하지 않은 Log4j 버전을 사용하고 있음을 발견했습니다.

이는 Sonatype의 소프트웨어 공급망 관리 전문가가 보고한 내용과 유사합니다. Log4j 대시보드지난 주 라이브러리 다운로드의 25%는 취약한 버전에 대한 것입니다.

Log4j 버전 다운로드
Log4j 버전 다운로드 (소나타입)

열악한 보안 관행

이전 라이브러리 버전을 계속 사용한다는 것은 지속적인 문제를 의미하며, Veracode는 불필요한 복잡성을 피하려는 개발자에게 이러한 문제를 돌립니다.

Veracode의 조사 결과에 따르면 개발자의 79%는 기능 저하를 피하기 위해 코드 베이스에 처음 포함된 타사 라이브러리를 절대 업데이트하지 않기로 선택했습니다.

오픈 소스 라이브러리 업데이트의 65%에 기능적 문제를 일으킬 가능성이 없는 사소한 변경 사항과 수정 사항이 포함되어 있음에도 불구하고 이는 사실입니다.

, 연구에 따르면 심각도가 높은 결함을 해결하는 데 프로젝트의 50%가 65일 이상 소요되는 것으로 나타났습니다. 인력이 부족한 경우 백로그의 절반을 수정하는 데 평소보다 13,7배 더 걸리고, 정보가 없는 경우 50%를 처리하는 데 XNUMX개월 이상이 걸립니다.

불행하게도 Veracode의 데이터는 Log4Shell이 ​​보안 업계의 많은 사람들이 기대했던 것과 같은 경각심을 불러일으키는 신호가 아니라는 것을 보여줍니다.

이와 대조적으로 Log4j는 1건 중 3건의 경우에만 계속 위험의 원인이 되며 공격자가 특정 대상을 손상시키기 위해 악용할 수 있는 여러 방법 중 하나가 될 수 있습니다.

기업에 권장되는 사항은 환경을 검사하고 사용 중인 오픈 소스 라이브러리 버전을 찾은 다음 모든 라이브러리에 대한 비상 업그레이드 계획을 개발하는 것입니다.



VIA : bleepingcomputer.com

Google 뉴스에서 TechWar.gr을 팔로우하세요.

답변