近三年后,Log4Shell 漏洞 的发现依然未能得到有效修复,目前仍有13的活跃 Log4j 安装 运行在易受攻击的版本上。根据 Sonatype 的最新研究,尽管13的比例有所改善,但考虑到公众对该漏洞的广泛认识,这个数据本应接近零。Sonatype 在2022年进行的研究发现,40的下载量仍为已知的严重漏洞版本。
在2022年和2023年的研究中,Sonatype 发现96的易受攻击组件都已经有修复的非易受攻击版本可用。然而,许多企业依旧没有进行更新,造成了安全隐患。
Sonatype 表示,2021年底发现的 Log4Shell 漏洞 标志着供应链威胁演变的关键时刻,因为这种广泛使用的开源日志工具嵌入了成千上万的企业应用程序。这一严重漏洞开启了巨大的攻击面,攻击者在漏洞公开披露后的几个小时内就开始发起大规模的攻击活动。Log4Shell 漏洞清晰地表明,似乎不显眼的开源组件中的漏洞可能会波及整个 软件生态系统,影响各行各业的组织。
Qualys 威胁研究单位的威胁研究总监 Ken Dunham 向 SC UK 表示,对于这个数字并不感到震惊,原因在于“任何人只要在威胁和漏洞管理行业工作,就知道人们在基础的防护和处置方面依然存在困难。”
小火箭节点购买他指出,Log4j “是无处不在的”,而且“很难去除,人们就这样坚持着,无法放手。”
Dunham 表示:“某些漏洞易于修补和缓解,而其他漏洞则更加复杂,涉及多个层面和各种依赖关系。”
Sonatype 的研究还发现,一些严重的漏洞在2024年修复耗时超过500天,尽管超过99的软件包都有更新版本,依然有80的应用程序依赖超过一年未升级。
统计信息数值活跃Log4j实例13下载存在漏洞版本40已有修复版本的易受攻击组件96修复严重漏洞所需天数超过500天未升级依赖比例80如今,Log4j 漏洞的持续存在是企业面临的主要安全挑战之一,及时更新和
安徽省宣城市旌德县篁嘉园区篁嘉大道7号
