35,000 Java-pakker påvirket af Log4j-sårbarhederne
Google siger, at mere end 35,000 Java-pakker er i øjeblikket påvirket af Log4j-sårbarhederne, "med udbredt nedfald i hele softwareindustrien." Dette svarer til mere end 8% af Maven Central-depotet, som betragtes som det mest betydningsfulde Java-pakkelager.
sårbarhederne, som inkluderer den originale Log4Shell (log4j) udnyttelse kendt som CVE-2021-44228 og en anden fjernudførelse af kode (RCE) fejl i Log4Shell-patchen kendt som CVE-2021-45046, kunne tillade trusselsaktører at udføre RCE-angreb. Disse angreb kan ske, hvis den sårbare JNDI-opslagsfunktion udnyttes af logningsbiblioteket log4j. Problemet er, at den udnyttelige funktion var aktiveret som standard i mange versioner af biblioteket, Forklarede Google.
Log4j-udnyttelsen "har fængslet informationssikkerhedsøkosystemet siden det blev offentliggjort den 9. december på grund af både dets alvor og udbredte virkning," bemærkede Google. Det populære logningsværktøj bruges af utallige softwarepakker og projekter på softwareområdet. Det værste er, at det er udfordrende at patche udnyttelsen på grund af brugerens manglende indsigt i deres afhængigheder og transitive afhængigheder. Hele virkningen af udnyttelsen er også svær at fange og bestemme.
Hidtil, Google har opdaget 35,863 af de tilgængelige Java-artefakter i Maven Central, der afhænger af den sårbare Log4j-kode. Men, disse tal svarer ikke til alle Java-pakker, inklusive direkte distribuerede binære filer. Men, "Maven Central er en stærk proxy for økosystemets tilstand".
"For så vidt angår økosystempåvirkning, 8% er enorm. Den gennemsnitlige økosystempåvirkning af råd, der påvirker Maven Central er 2%, med medianen på mindre end 0,1 %," tilføjede Google.
Den lidt gode nyhed
På tidspunktet for offentliggørelsen af deres resultater (December 17), Google anslåede, at næsten fem tusinde af de berørte artefakter blev rettet, repræsenterer "en hurtig reaktion og kæmpe indsats fra både log4j-vedligeholdere og det bredere fællesskab af open source-brugere."
Men, 30,000 artefakter er stadig berørt, hvoraf mange er afhængige af en anden artefakt at lappe, kendt som transitiv afhængighed, og er sandsynligvis blokeret.
På en anden note, CVE-2021-44228 log4j-udnyttelsen blev for nylig misbrugt af en ny ransomware-gruppe, kendt som koncert. USA. Agenturet for cybersikkerhed og infrastruktursikkerhed var den, der afslørede den aktive udnyttelse af fejlen.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: