Binnenkort, Sonatype gemaakt dashboard Bevat gegevens over downloads van Log4j schrijft donkere lezing† Het blijkt nu dat 43% van de Log4j-pakketten die tussen 4 februari en 10 maart zijn gedownload, ouder zijn dan 2.15.0. 2.15.0 is de versie van Log4j die de gevonden kwetsbaarheid sluit en op 10 december werd uitgebracht.
Veel zwakke versies
Patch 2.15 bevatte echter ook een kwetsbaarheid waardoor kwaadwillenden gegevens van kwetsbare servers konden downloaden. De patch voor dit gat bracht opnieuw een denial of service-kwetsbaarheid aan het licht. De derde patch had ook een ander probleem: een nieuw RCE-gat. Begin dit jaar verscheen een vierde en laatste patch die alle problemen oploste. Dus versie 2.17.1 is de veiligste versie van Log4j.
In totaal is Log4j sinds 10 december 31,4 miljoen keer gedownload. Het is daarom onduidelijk hoeveel van deze downloads een zwakke versie hebben. Maar als we naar de laatste statistieken kijken, zou dit aantal gemakkelijk rond de 10 miljoen kunnen zijn.
Het feit dat absoluut al deze kwetsbare versies nog steeds kunnen worden gedownload, omdat veel software op deze versies is gebaseerd. Dus als ze plotseling worden verwijderd, kunnen veel programma’s crashen. “Hoewel het verleidelijk kan zijn om ons eigen oordeel te gebruiken – wat zou kunnen betekenen dat zwakke versies worden verwijderd – is het eigenlijk beter voor de samenleving als iedereen zijn eigen oordeel velt”, zegt Ilkka Turunen, directeur veldtechnologie bij Sonatype, tegen IPS. donkere lezing.
Waarom downloaden we het?
De vraag is natuurlijk waarom zoveel mensen nog steeds kwetsbare versies van Log4j downloaden. Travis Smith, vice-president van malware-bedreigingsonderzoek bij Qualys, vertelde Dark Reading dat er verschillende redenen zijn. De belangrijkste reden, zegt hij, is het gebruik van geautomatiseerde bouwsystemen, die zijn geconfigureerd om specifieke versies van afhankelijkheden te downloaden. “Als de persoon die het programma onderhoudt niet goed luistert naar het nieuws rondom Log4j, blijft de applicatie kwetsbaar voor misbruik.”
Bovendien zit Log4j vaak verstopt in Java-applicaties, wat het voor organisaties moeilijk maakt om het probleem te detecteren en op te lossen. Smith zei dat het mogelijk is dat veel van de kwetsbare versies die nu worden gedownload voor projecten zijn die de tijd die nodig is om te upgraden niet rechtvaardigen. Ten slotte kunnen kwetsbare versies worden gedownload door onderzoekers of aanvallers die hun eigen exploits proberen te testen.
“Valt vaak neer. Subtiel charmante tv-liefhebber. Toegewijde internetfan. Muziekbeoefenaar.”