Περίπου το 38% των εφαρμογών που χρησιμοποιούν το Apache Log4j library χρησιμοποιούν μια ευάλωτη έκδοση που σημαίνει ότι επηρεάζονται από διάφορες ευπάθειες, συμπεριλαμβανομένου του Log4Shell bug (CVE-2021-44228), μιας κρίσιμης ευπάθειας που έχει διορθωθεί εδώ και δύο χρόνια.
Το Log4Shell είναι μια ευπάθεια που επιτρέπει εκτέλεση κώδικα απομακρυσμένα (RCE), χωρίς έλεγχο ταυτότητας, και μπορεί να οδηγήσει στον πλήρη έλεγχο συστημάτων με Log4j 2.0-beta9 και έως 2.15.0.
Η ευπάθεια ανακαλύφθηκε στις 10 Δεκεμβρίου 2021, ως zero-day που χρησιμοποιούνταν σε επιθέσεις. Ο εκτεταμένος αντίκτυπος, η ευκολία εκμετάλλευσης και οι τεράστιες επιπτώσεις στην ασφάλεια προσέλκυσαν πολλούς hackers που προσπάθησαν να χρησιμοποιήσουν το bug για τις επιθέσεις τους.
Δείτε επίσης: 21 ευπάθειες επηρεάζουν Sierra routers και απειλούν κρίσιμες υποδομές
Λογισμικό ακουστικών βαρηκοΐας εγκρίθηκε για τα AirPods Pro
OpenAI o1: Νέο AI μοντέλο "σκέφτεται" σαν άνθρωπος
Καταγγελία εναντίον γνωστών gaming εταιρειών
Οι ειδικοί ασφαλείας άρχισαν αμέσως να ενημερώνουν project maintainers και διαχειριστές συστημάτων για την κρίσιμη ευπάθεια, αλλά παρά τις πολυάριθμες προειδοποιήσεις, ένας σημαντικός αριθμός οργανισμών συνέχισε να χρησιμοποιεί ευάλωτες εκδόσεις ακόμα και μετά την κυκλοφορία ενημερώσεων.
Δυστυχώς, μια νέα έκθεση από την εταιρεία ασφαλείας Veracode δείχνει ότι ακόμα και δύο χρόνια μετά, υπάρχουν πολλοί οργανισμοί που εξακολουθούν να χρησιμοποιούν εκδόσεις του Apache Log4j library που είναι ευάλωτες στην ευπάθεια Log4Shell.
Η Veracode συνέταξε την έκθεση, βασισμένη σε δεδομένα που συλλέχθηκαν μεταξύ 15 Αυγούστου και 15 Νοεμβρίου 2023. Η εταιρεία εξέτασε 3.866 οργανισμούς που χρησιμοποιούν 38.278 εφαρμογές που βασίζονται στο Log4j, με εκδόσεις μεταξύ 1.1 και 3.0.0-alpha1. Από αυτές τις εφαρμογές, το 2,8% χρησιμοποιεί παραλλαγές Log4J 2.0-beta9 έως 2.15.0, οι οποίες είναι ευάλωτες στο Log4Shell bug.
Ένα άλλο 3,8% χρησιμοποιεί Log4j 2.17.0, το οποίο, αν και δεν είναι ευάλωτο στο Log4Shell, επηρεάζεται από την ευπάθεια CVE-2021-44832, που επιτρέπει, επίσης, εκτέλεση κώδικα απομακρυσμένα και διορθώθηκε στην έκδοση 2.17.1 του framework.
Τέλος, το 32% χρησιμοποιεί την έκδοση Log4j 1.2.x, η οποία δεν υποστηρίζεται από τον Αύγουστο του 2015. Αυτές οι εκδόσεις είναι ευάλωτες σε πολλαπλές σοβαρές ευπάθειες.
Δείτε επίσης: Atlassian: Διορθώνει κρίσιμες ευπάθειες σε πολλά προϊόντα
Συνολικά, η Veracode διαπίστωσε ότι περίπου το 38% των εφαρμογών που είναι ορατές, χρησιμοποιούν μια μη ασφαλή έκδοση Log4j.
Κακές πρακτικές ασφάλειας
Η χρήση παλιών εκδόσεων library φαίνεται να είναι ένα συχνό πρόβλημα, το οποίο η Veracode αποδίδει στους προγραμματιστές που θέλουν να αποφύγουν προβλήματα. Για παράδειγμα, σύμφωνα με τα ευρήματα της Veracode, το 79% των προγραμματιστών επιλέγουν να μην ενημερώνουν ποτέ τις βιβλιοθήκες τρίτων για να αποφύγουν προβλήματα λειτουργικότητας.
Επιπλέον, η μελέτη έδειξε ότι σε πολλές περιπτώσεις περνούν έως και 65 ημέρες για να εφαρμοστούν ενημερώσεις για σφάλματα υψηλής σοβαρότητας, το οποίο σημαίνει ότι τα λογισμικά παραμένουν ευάλωτα για πολύ καιρό.
Δυστυχώς, τα δεδομένα της Veracode δείχνουν ότι το Log4Shell και γενικά οι ευπάθειες που επηρεάζουν το Log4j library εξακολουθούν να αποτελούν σημαντικό κίνδυνο.
Προστασία από ευπάθειες
Μια από τις κορυφαίες πρακτικές για την αντιμετώπιση ευπαθειών ασφάλειας, όπως αυτές στο Log4j, είναι η τακτική ανάλυση των ευπαθειών και η επιδιόρθωσή τους. Αυτό περιλαμβάνει την αναγνώριση των ευπαθειών στο σύστημα σας, την αξιολόγησή τους και την εφαρμογή των απαραίτητων διορθώσεων για να εξαλειφθούν. Αυτή η πρακτική επιτρέπει την πρόληψη πιθανών επιθέσεων και εξασφαλίζει την ακεραιότητα και την ασφάλεια του συστήματός σας.
Δείτε επίσης: Ευπάθεια στο CISCO IOS XE καθιστά ευάλωτες χιλιάδες συσκευές
Ένας άλλος σημαντικός παράγοντας για την αντιμετώπιση ευπαθειών ασφάλειας είναι η εφαρμογή ενός ισχυρού συστήματος πρόληψης και ανίχνευσης εισβολών (IPS/IDS). Αυτό το σύστημα μπορεί να εντοπίσει και να αποτρέψει επιθέσεις πριν προκαλέσουν ζημιά στο σύστημά σας.
Επιπλέον, η εκπαίδευση και η ευαισθητοποίηση των χρηστών αποτελεί μια απαραίτητη πρακτική για την αντιμετώπιση ευπαθειών ασφάλειας. Οι χρήστες πρέπει να είναι ενημερωμένοι για τις απειλές ασφάλειας και να γνωρίζουν τους τρόπους προστασίας των προσωπικών τους δεδομένων. Η εκπαίδευση μπορεί να περιλαμβάνει την ενημέρωση για ισχυρούς κωδικούς πρόσβασης, την αποφυγή κλικ σε ύποπτα ή ανεπιθύμητα email και την αναγνώριση κοινών τεχνικών phishing.
Τελευταίο και πιο σημαντικό: η τακτική ενημέρωση του λογισμικού και των συστημάτων σας είναι ζωτικής σημασίας για την αντιμετώπιση ευπαθειών ασφάλειας. Οι εταιρείες λογισμικού συχνά εκδίδουν ενημερώσεις και διορθώσεις για να αντιμετωπίσουν γνωστά προβλήματα ασφάλειας. Επομένως, είναι σημαντικό να διατηρείτε το λογισμικό και τα συστήματά σας ενημερωμένα με τις τελευταίες εκδόσεις για να παραμείνετε ασφαλείς.
Πηγή: www.bleepingcomputer.com