Nonostante siano disponibili patch da oltre due anni, circa il 38% delle applicazioni che utilizzano la libreria Apache Log4j impiegano una versione vulnerabile a problemi di sicurezza, inclusa la critica vulnerabilità Log4Shell, identificata come CVE-2021-44228.
Dettagli sulla vulnerabilità Log4Shell
Log4Shell è una falla di esecuzione remota di codice (RCE) non autenticata che consente il controllo completo sui sistemi con Log4j dalla versione 2.0-beta9 fino alla 2.15.0. Scoperta come zero-day attivamente sfruttata il 10 dicembre 2021, ha avuto un impatto diffuso, facilità di sfruttamento e gravi implicazioni per la sicurezza, attirando l’attenzione di numerosi attori minacciosi.
Risposta alla Vulnerabilità
Nonostante le numerose campagne di sensibilizzazione rivolte ai responsabili dei progetti e agli amministratori di sistema, molte organizzazioni hanno continuato a utilizzare versioni vulnerabili di Log4j a lungo dopo la disponibilità delle patch.
Dati e Statistiche
Un rapporto della società di sicurezza delle applicazioni Veracode, basato su dati raccolti tra il 15 agosto e il 15 novembre, evidenzia che il 2,8% delle applicazioni utilizza varianti di Log4J vulnerabili a Log4Shell. Un ulteriore 3,8% utilizza Log4j 2.17.0, vulnerabile a CVE-2021-44832, mentre il 32% impiega la versione 1.2.x di Log4j, che ha raggiunto la fine del supporto nell’agosto 2015 e presenta molteplici vulnerabilità gravi.
Questo dato si avvicina a quello riportato dagli esperti di gestione della catena di fornitura del software di Sonatype nel loro dashboard Log4j, dove il 25% dei download della libreria nell’ultima settimana riguarda versioni vulnerabili.
Pratiche di Sicurezza Inadeguate
L’uso continuato di versioni obsolete della libreria indica un problema persistente, attribuito da Veracode alla riluttanza degli sviluppatori ad aggiornare le librerie di terze parti per evitare complicazioni. Il 79% degli sviluppatori sceglie di non aggiornare mai le librerie di terze parti dopo la loro inclusione iniziale nel codice, anche se il 65% degli aggiornamenti delle librerie open-source contiene modifiche minori e correzioni improbabili di causare problemi funzionali.
Raccomandazioni
La raccomandazione per le aziende è di scansionare il proprio ambiente, individuare le versioni delle librerie open-source in uso e sviluppare un piano di aggiornamento d’emergenza per tutte.
I dati mostrano che Log4Shell non è stato il campanello d’allarme che molti nel settore della sicurezza speravano. Log4j continua a essere una fonte di rischio in 1 caso su 3 e può essere facilmente uno dei molteplici modi in cui gli aggressori possono sfruttare per compromettere un obiettivo.