Log4j هنوز هم می تواند یک نگرانی امنیتی بزرگ برای مشاغل در همه جا باشد

Bia2 Host
Log4j هنوز هم می تواند یک نگرانی امنیتی بزرگ برای مشاغل در همه جا باشد

Log4j هنوز هم می تواند یک نگرانی امنیتی بزرگ برای مشاغل در همه جا باشد

با وجود اینکه دو سال پیش کشف و اصلاح شد Log4j تحقیقات جدید ادعا می‌کند که آسیب‌پذیری همچنان تهدیدی بزرگ برای کسب‌وکارها در همه جا است.

گزارشی توسط Veracode نشان می‌دهد که کسب‌وکارها به اندازه کافی در اصلاح نقاط پایانی خود سخت کوش نیستند، زیرا داده‌های اسکن‌های نرم‌افزاری را طی ۹۰ روز بین ۱۵ اوت تا ۱۵ نوامبر ۲۰۲۳ برای ۳۸۲۷۸ برنامه منحصربه‌فرد که نسخه‌های Log4j 1.1 تا ۳٫۰۰- را اجرا می‌کنند، تحلیل کرده‌اند. آلفا ۱، در ۳۸۶۶ سازمان.

داده‌ها نشان می‌دهد که تقریباً از هر پنج (۳۸ درصد) برنامه‌ها در حال حاضر دو نسخه از Log4j آسیب‌پذیر هستند: ۲٫۸ درصد Log4j را با آسیب‌پذیری‌های Log4Shell (Log4j2 2.0-beta9 تا ۲٫۱۵٫۰) اجرا می‌کنند، ۳٫۸ درصد Log4j2 2.17.0 را اجرا می‌کنند، که در برابر آسیب پذیری Log4Shell وصله شده است اما حاوی CVE-2021-44832 است و ۳۲٪ از Log4j2 1.2.x استفاده می کنند، نسخه ای که در آگوست ۲۰۱۵ به پایان رسید و بنابراین دیگر با وصله ها پشتیبانی نمی شود. تقریباً دو سال پیش، در ژانویه ۲۰۲۲، آپاچی گفت این نسخه حاوی سه آسیب پذیری حیاتی است: CVE-2022-23307، CVE-2022-23305، و CVE-2022-23302.

“تلاش گسترده”

در حالی که داده ها حاکی از “تلاش گسترده” برای رفع آسیب پذیری Log4Shell و کاهش خطرات است. بد افزار Veracode به این نتیجه رسید که با سوء استفاده از روز صفر، حتی دو سال پس از کشف، هنوز فضای زیادی برای بهبود وجود دارد.

اگر Log4Shell نمونه دیگری در یک سری طولانی از تماس های بیدارباش برای اتخاذ شیوه های امنیتی منبع باز سختگیرانه تر بود، این واقعیت که بیش از ۱ از هر ۳ برنامه در حال حاضر نسخه های آسیب پذیر Log4j را اجرا می کنند نشان می دهد که کار بیشتری برای انجام دادن وجود دارد.

محققان Veracode به این نتیجه رسیدند که بسیاری از سازمان‌ها احتمالاً حتی از میزان خطری که در هنگام ادغام نرم‌افزار متن‌باز در معرض آن هستند، آگاه نیستند.

گزارش جداگانه‌ای توسط همان شرکت نشان داد که تقریباً ۸۰ درصد از مواقع توسعه‌دهندگان پس از گنجاندن کتابخانه‌های شخص ثالث در یک پایگاه کد، هرگز آن‌ها را به‌روزرسانی نمی‌کنند، که می‌تواند توضیح دهد که چرا نمونه‌های بسیاری از کدهای قدیمی Log4j هنوز در حال استفاده هستند.

بیشتر از TechRadar Pro


منبع: https://www.techradar.com/pro/security/log4j-could-still-be-a-major-security-worry-for-businesses-everywhere

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *