Log4Shell पुढील दशकात डेटा उल्लंघनांमध्ये दिसणार आहे
2023 च्या या शेवटच्या महिन्यात चिन्हांकित केले Log4j/Log4Shell भेद्यतेच्या शोधाची दुसरी वर्धापन दिन, जी एक असुरक्षितता आहे जी आजही अनेक प्रकल्पांना प्रभावित करत आहे आणि सुरक्षिततेला धोका निर्माण करते.
क्लाउडफ्लेअरच्या वार्षिक "इयर इन रिव्ह्यू" अहवालानुसार आणि सुरक्षितता संशोधकांनी जारी केलेल्या Log4j Java लायब्ररीमधील गंभीर भेद्यतेच्या प्रासंगिकतेवरील अभ्यासाच्या निकालांनुसार, Log4j हे सायबर हल्ल्यांचे मुख्य लक्ष्य आहे. Veracode द्वारे.
अगोदर निर्देश केलेल्या बाबीसंबंधी बोलताना व्हेराकोड संशोधकांनी 38.278 अनुप्रयोगांचा अभ्यास केल्यानंतर नमूद केले आहे 3.866 संस्थांनी वापरले, त्यांनी ते शोधून काढले पाच पैकी दोन अनुप्रयोग अजूनही असुरक्षित आवृत्त्या वापरतात Apache Log4j लायब्ररीचे, गंभीर असुरक्षा सार्वजनिक झाल्यानंतर दोन वर्षांनी.
अहवाल हायलाइट करतो की सुमारे एक तृतीयांश अनुप्रयोग Log4j2 1.2.x चालवतात (जे ऑगस्ट 2015 मध्ये आयुष्याच्या शेवटी पोहोचले आणि यापुढे पॅच अद्यतने प्राप्त होणार नाहीत) जे 38% दर्शवते. लेगसी कोड वापरणे सुरू ठेवण्याचे मुख्य कारण म्हणजे जुन्या लायब्ररींचे प्रकल्पांमध्ये एकत्रीकरण करणे किंवा असमर्थित शाखांमधून मागास सुसंगत असलेल्या नवीन शाखांमध्ये स्थलांतरित करणे. याव्यतिरिक्त, 2.8% अनुप्रयोग अजूनही सुप्रसिद्ध Log4Shell भेद्यतेसाठी असुरक्षित आवृत्त्या वापरतात.
त्या व्यतिरिक्त, यात तीन मुख्य श्रेणींचा उल्लेख आहे Veracode अहवालानुसार, Log4j च्या असुरक्षित आवृत्त्या वापरत असलेल्या अनुप्रयोगांपैकी:
- Log4Shell भेद्यता (CVE-2021-44228):
2.8% अनुप्रयोग 4-beta2.0 ते 9 पर्यंत Log2.15.0j आवृत्त्या वापरणे सुरू ठेवतात, ज्यात ज्ञात भेद्यता आहे. - रिमोट कोड एक्झिक्यूशन (RCE) भेद्यता (CVE-2021-44832):
3.8% ऍप्लिकेशन्स Log4j2 2.17.0 आवृत्ती वापरतात, जी Log4Shell भेद्यतेला संबोधित करते, परंतु CVE-2021-44832 म्हणून ओळखल्या जाणार्या रिमोट कोड एक्झिक्यूशन (RCE) भेद्यतेचे निराकरण करत नाही. - Log4j2 1.2.x शाखा (2015 मध्ये पूर्ण झालेले समर्थन):
32% अनुप्रयोग अजूनही Log4j2 1.2.x शाखा वापरतात, ज्यांचे समर्थन 2015 मध्ये संपले. ही शाखा CVE-2022-23307, CVE-2022-23305 आणि CVE-2022-23302 सारख्या गंभीर असुरक्षिततेमुळे प्रभावित झाली आहे. 2022, देखभाल संपल्यानंतर सात वर्षांनी.
हा डेटा अशा परिस्थितीची विविधता हायलाइट करतो ज्यामध्ये अनुप्रयोग Log4j च्या कालबाह्य आणि असुरक्षित आवृत्त्या वापरत राहतात, ज्यामुळे संशोधकांची महत्त्वपूर्ण चिंता वाढली आहे.
आणि एक चिंताजनक वस्तुस्थिती अशी आहे की 3.8% अनुप्रयोग Log4j2 2.17.0 वापरतात, जे Log4Shell विरुद्ध पॅच केले गेले होते, परंतु CVE-2021-44832 समाविष्ट करते, ही आणखी एक उच्च-तीव्रता रिमोट कोड अंमलबजावणी असुरक्षा आहे.
अहवाल अधोरेखित करतो की, प्रयत्न करूनही अलिकडच्या वर्षांत सॉफ्टवेअर डेव्हलपमेंट आणि ओपन सोर्सच्या वापरामध्ये सुरक्षा पद्धती सुधारण्यासाठी, करण्यासारखे काम आहे.
ख्रिस इंजी, व्हेराकोडचे संशोधन संचालक, हायलाइट करतात की:
विकसकांची महत्त्वपूर्ण जबाबदारी आहे आणि जेव्हा ओपन सोर्स सॉफ्टवेअरच्या सुरक्षिततेचा विचार केला जातो तेव्हा सुधारणेसाठी जागा आहे.
जरी बर्याच विकसकांनी सुरुवातीला 4 आवृत्ती स्थापित करून Log2.17.0j संकटाला योग्य प्रतिसाद दिला, तरी अहवाल सुचवितो की काहींनी 2.17.1 च्या रिलीझच्या पलीकडे पॅच न लागू करून मागील नमुन्यांकडे वळले.
Apache Software Foundation (ASF) सक्रियपणे डाउनस्ट्रीम प्रकल्पांना अद्ययावत करण्याच्या निकडीची सूचना देत आहे, परंतु अहवालाचे निष्कर्ष असे सूचित करतात की अजूनही असे अनुप्रयोग आहेत ज्यांनी आवश्यक निराकरणे लागू केलेली नाहीत.
वेराकोडचा अहवाल 38,000 ऑगस्ट ते 90 नोव्हेंबर दरम्यान 15 दिवसांच्या कालावधीत 15 हून अधिक अॅप्सच्या सॉफ्टवेअर स्कॅनच्या डेटावर आधारित होता. अनुप्रयोग 4 विविध संस्थांमध्ये 1.1 ते 3.0.0 अल्फा 1 पर्यंत Log3,866j आवृत्त्या चालवत होते.
आमच्या संशोधनात असेही आढळून आले की एकदा विकासकांना स्कॅनद्वारे असुरक्षित लायब्ररीबद्दल सतर्क केले गेले की ते तुलनेने त्वरीत त्यांचे निराकरण करतात: 50 टक्के भेद्यता एकूण 89 दिवसांत, 65 दिवसांत उच्च तीव्रतेच्या भेद्यतेसाठी आणि 107 दिवसांत मध्यम तीव्रतेच्या भेद्यतेसाठी.
हे परिणाम पूर्वीच्या इशाऱ्यांशी सुसंगत आहेत, जसे की 2022 फेडरल सायबर सुरक्षा पुनरावलोकन बोर्ड अहवाल, ज्याने सूचित केले आहे की Log4j संकट पूर्णपणे निराकरण होण्यासाठी वर्षे लागतील.
शेवटी तुम्ही असाल तर याबद्दल अधिक जाणून घेण्यात स्वारस्य आहे, मी तुम्हाला व्हेराकोड ब्लॉगवरील मूळ लेखाला भेट देण्यासाठी आमंत्रित करतो. दुवा हा आहे.