Yeni araştırmaya göre, dünya çapında yaklaşık 4.000 işletme, yıkıcı saldırının ardından iki yıl geçmesine rağmen Log4j saldırılarına karşı hala savunmasız durumda. Veracode’un analizi, 3.866 farklı kuruluşta Log4j 1.1’den 3.0.0-alpha1’e kadar sürümlerini çalıştıran 38.278 benzersiz uygulama buldu.
Açığa çıkan Log4j yinelemelerinden uygulamaların yüzde 2,8’i, 9 Aralık 2021’de açığa çıktıktan sonraki ilk üç günde yaklaşık bir milyon yararlanma girişiminde bulunulan orijinal Log4Shell güvenlik açığına sahip sürümleri kullanıyordu. Araştırmaya göre, uygulamaların yüzde 3,8’inin Log4Shell istismarını ortadan kaldırmak için yama uygulanan Log4j 2.17.0 çalıştırdığı ancak saldırganların uzaktan kontrol açıklarından yararlanmalarına (RCE’ler) izin veren güvenlik açığını halen içerdiği ortaya çıktı.
Veracode, 2.17.0 çalıştıran risk altındaki uygulamaların yaygınlığının, ekiplerin başlangıçtaki Log4Shell güvenlik açığını hızla düzeltmeye harekete geçmesine, ancak bu noktadan sonra uyanık kalmayı ve yazılımlarına yama yapmamalarından kaynaklandığını tahmin etti. Ayrıca uygulamaların yaklaşık yüzde 32’sinin, Ağustos 2015’te kullanım ömrünün sonuna (EOL) ulaşan ve artık güvenlik güncellemeleri almayan Log4j2 1.2x kullandığı tespit edildi. Apache, Ocak 2022’de Log4j 1.2x’i etkileyen üç kritik güvenlik açığını açıkladı. EOL’ye ulaştığından bu yana toplam kritik güvenlik açığı sayısını yediye çıkardı.
Log4Shell güvenlik açığı, Aralık 2021’de son derece popüler Java kaydedici Log4j’yi doğrudan etkiledi. Olay, küresel siber güvenlik endüstrisinde şok dalgalarına neden oldu ve dünya çapındaki kuruluşlar kusuru düzeltmek için çabalıyor. CVE-2021-44228 olarak takip edilen Log4Shell’e 10/10 kritik notu verildi ve kripto madenciler de dahil olmak üzere tehdit aktörlerinin hemen üzerine atıldı. Açıklamanın ardından sadece birkaç gün içinde yaklaşık bir milyon istismar girişimi kaydedildi.
Veracode tarafından yapılan önceki araştırmalar, ortalama Java uygulamasının yüzde 97’sinin üçüncü taraf kodlarından oluştuğunu göstererek, açık kaynak kitaplıklarının birçok uygulamada yaygın hale geldiğini gösteriyor. Veracode’dan elde edilen yeni bulgular, geliştiricilerin üçüncü taraf kitaplıkları kod tabanına ekledikten sonra yüzde 79 oranında güncellemediğini ortaya çıkardı. Bu da neden bu kadar çok uygulamanın hala günlük kaydı yardımcı programının savunmasız sürümlerini kullandığını açıklıyor. Açık kaynak kitaplık güncellemelerinin yüzde 65’i küçük değişiklikler olduğundan ve çoğu uygulamanın işlevselliğini önemli ölçüde etkileme olasılığı düşük olduğundan, Log4j sürümünün düzenli olarak güncellenmemesi özellikle kafa karıştırıcı.