Bleeping Computer 網(wǎng)站消息，大約有 38% 采用 Apache Log4j 庫的應用程序使用的是存在安全問題的版本，其中包括 Log4Shell 漏洞，該漏洞被追蹤為 CVE-2021-44228，盡管兩年多前就有了修補程序，但目前的嚴重程度仍達到了最高級別。

Log4Shell 是一個未經(jīng)驗證的遠程代碼執(zhí)行 (RCE) 漏洞，攻擊者可以利用其完全控制使用 Log4j 2.0-beta9 及以上版本 2.15.0 的系統(tǒng)。2021 年 12 月 10 日，研究人員首次發(fā)現(xiàn) Log4Shell 安全漏洞作，其廣泛的影響、易利用性和巨大的安全影響在當時引起了行業(yè)巨大的“震動”。

研究人員在發(fā)現(xiàn)安全漏洞問題后，立刻向所有受影響的項目維護者和系統(tǒng)管理員發(fā)出了安全通知，然而壞消息是，雖然發(fā)出了無數(shù)警告依然有大量組織在補丁可用后繼續(xù)使用易受攻擊的版本。更糟糕的是，漏洞披露和修復程序發(fā)布兩年后，仍有大量目標易受 Log4Shell 影響。

應用程序安全公司 Veracode 根據(jù) 8 月 15 日至 11 月 15 日期間收集的數(shù)據(jù)，編寫了一份安全報告，在報告中，Veracode 強調(diào) Log4Shell 安全漏洞帶來的影響可能會持續(xù)很長一段時間。

鞏固攻擊面

Veracode 從 3866 個組織收集了 90 天的數(shù)據(jù)信息，這些組織使用 38278 個依賴 Log4j 的應用程序，版本在 1.1 到 3.0.0 之間。 在這些應用程序中，2.8% 使用 Log4J 版本 2.0-beta9 至 2.15.0，這些版本及其容易受到 Log4Shell 漏洞的直接影響。另有 3.8% 的應用程序使用 Log4j 2.17.0，雖然這個版本不會受到 Log4Shell 漏洞的影響，但卻容易受到 CVE-2021-44832 漏洞的影響（CVE-2021-44832 是一個遠程代碼執(zhí)行漏洞，已在該框架的 2.17.1 版本中得到修復。）

32% 使用的是 1.2.x 版 Log4j ，該版本自 2015 年 8 月起已經(jīng)停止支持更新，這些版本易受 2022 年之前發(fā)布的多個嚴重漏洞的影響，其中包括 CVE-2022-23307、CVE-2022-23305 和 CVE-2022-23302等安全漏洞。

Veracode 還發(fā)現(xiàn)，在其可見范圍內(nèi)，總共約有 38% 的應用程序使用了不安全的 Log4j 版本，這一比例與 Sonatype 的軟件供應鏈管理專家在其 Log4j 面板上報告的情況非常接近，過去一周時間里，該庫 25% 的下載涉及到有漏洞的版本。

Log4j 版本下載 (Sonatype)

根據(jù) Veracode 的調(diào)查結(jié)果，79% 的開發(fā)人員選擇在第三方庫首次納入代碼庫后則不再更新，以避免破壞功能。值得一提的是，即使 65% 的開源庫更新包含不太可能導致功能問題的小改動和修復，開發(fā)人員也不愿意更新。

此外，研究還表明 50% 的項目需要 65 天以上的時間來解決高嚴重性安全漏洞，在人員不足的情況下，修復積壓項目中一半的漏洞需要比平時多花 13.7 倍的時間，而在缺乏信息的情況下，處理 50%的漏洞需要 7 個多月的時間。

不幸的是，從 Veracode 的調(diào)查數(shù)據(jù)來看，Log4Shell 安全漏洞并沒有像許多安全從業(yè)者希望的那樣敲響安全“警鐘”。恰恰相反，目前每三個 Log4j 案例中就有 1 個存在安全風險，而且很容易成為威脅攻擊者入侵特定目標的途徑之一。

最后，安全研究專家強烈建議企業(yè)及時掃描其網(wǎng)絡(luò)環(huán)境，找出正在使用的開源庫版本，然后為所有這些庫制定緊急升級計劃。

參考文章：https://www.bleepingcomputer.com/news/security/over-30-percent-of-log4j-apps-use-a-vulnerable-version-of-the-library/