Über 30% gefährdete Apps mit anfälligen Log4j-Versionen
Alarmierende 38 % der Anwendungen, die die Apache Log4j-Bibliothek verwenden, nutzen die Versionen, die für Sicherheitslücken anfällig sind. Eine davon ist eine kritische Sicherheitslücke, Log4Shell (CVE-2021-44228), für die seit über zwei Jahren Patches verfügbar sind.
Log4Shell ist eine nicht authentifizierte Schwachstelle für Remotecodeausführung (RCE), die es Bedrohungsakteuren ermöglicht, die vollständige Kontrolle über Systeme zu erlangen, auf denen die Log4j-Versionen 2.0-beta9 und bis 2.15.0 laufen. Diese Sicherheitslücke wurde im Dezember 2021 als Zero-Day-Exploit identifiziert und wird seitdem aktiv ausgenutzt, was die Dringlichkeit eines sofortigen Patches aufgrund der weitreichenden Auswirkungen unterstreicht.
Veracode's Log4j Apps Bericht
In einer detaillierten Analyse untersuchte Veracode zwischen dem 15. August und dem 15. November 38.278 Anwendungen von 3.886 Unternehmen. Bemerkenswerterweise zeigten die Ergebnisse, dass etwa 38 % dieser Anwendungen weiterhin ungepatchte Log4j-Versionen verwenden, wodurch ein erheblicher Teil der digitalen Landschaft potenziellen Bedrohungen ausgesetzt ist. Davon nutzen 2,8 % Log4J-Versionen, die anfällig für Log4Shell sind.
Ein typisches Problem für Entwickler ist das Fortbestehen veralteter Bibliotheksversionen. Erschreckende 79 % der Entwickler entscheiden sich gegen die Aktualisierung von Bibliotheken von Drittanbietern, nachdem sie zum ersten Mal in die Codebasis integriert wurden, weil sie befürchten, dass die Funktionalität beeinträchtigt werden könnte. Bemerkenswerterweise umfassen 65 % der Aktualisierungen für Open-Source-Bibliotheken kleine Anpassungen und Korrekturen, die die Funktionalität wahrscheinlich nicht beeinträchtigen, was auf eine verpasste Chance zur Verbesserung der Sicherheit hinweist.
Log4Shell Begrenzte Auswirkungen auf Praktiken
Die Sicherheitsindustrie hatte vielleicht gehofft, dass die Entdeckung von Log4Shell als Weckruf dienen würde, aber das scheint nicht der Fall gewesen zu sein. Die Tatsache, dass Log4j, das für seine Schwachstellen bekannt ist, immer noch in 1 von 5 Fällen ein Risiko darstellt, zeigt, dass die Dringlichkeit von Log4Shell nicht zu dem erwarteten Paradigmenwechsel in der Sicherheitspraxis geführt hat.
Diese Ergebnisse machen den Unternehmen deutlich, was sie tun müssen: eine gründliche Bewertung ihrer Umgebung, um die Versionen der Open-Source-Bibliotheken zu ermitteln. Der nächste Schritt ist die Erstellung eines Notfall-Upgrade-Plans, der sicherstellt, dass Updates und Patches schnell eingespielt werden, um Schwachstellen zu beseitigen und die Verteidigung gegen Angriffe zu stärken.
Schlussfolgerung
Da die Log4j-Schwachstellen im digitalen Ökosystem weiterhin bestehen bleiben, müssen Unternehmen die anhaltende Bedrohung erkennen und proaktive Maßnahmen zur Sicherung ihrer Anwendungen ergreifen. Durch Wachsamkeit, die Implementierung rechtzeitiger Updates und eine proaktive Sicherheitshaltung können Unternehmen die komplexe Cybersicherheitslandschaft mit Zuversicht meistern und die mit Log4Shell und anderen ähnlichen Schwachstellen verbundenen Risiken mindern.
Die Quellen für diesen Artikel sind unter anderem ein Bericht von BleepingComputer.