35,000 Pacchetti Java interessati dalle vulnerabilità di Log4j
Google dice che più di 35,000 I pacchetti Java sono attualmente interessati dalle vulnerabilità di Log4j, "con ricadute diffuse in tutta l'industria del software". Questo ammonta a più di 8% del repository Maven Central, che è considerato il repository di pacchetti Java più significativo.
le vulnerabilità, che includono l'originale Log4Shell (log4j) exploit noto come CVE-2021-44228 e una seconda esecuzione di codice remoto (RCE) difetto nella patch Log4Shell nota come CVE-2021-45046, potrebbe consentire agli attori delle minacce di eseguire attacchi RCE. Questi attacchi possono verificarsi se la funzionalità di ricerca JNDI vulnerabile viene sfruttata dalla libreria di registrazione log4j. Il problema è che la funzionalità sfruttabile era abilitata per impostazione predefinita in molte versioni della libreria, Google ha spiegato.
L'exploit Log4j "ha affascinato l'ecosistema della sicurezza delle informazioni sin dalla sua divulgazione il 9 dicembre a causa sia della sua gravità che dell'impatto diffuso,"Google ha notato. Il popolare strumento di registrazione è utilizzato da innumerevoli pacchetti software e progetti nel campo del software. La parte peggiore è che la correzione dell'exploit è impegnativa a causa della mancanza di visibilità da parte dell'utente sulle proprie dipendenze e dipendenze transitive. Anche l'intero impatto dell'exploit è difficile da catturare e determinare.
Finora, Google ha scoperto 35,863 degli artefatti Java disponibili in Maven Central che dipendono dal codice Log4j vulnerabile. Tuttavia, questi numeri non corrispondono a tutti i pacchetti Java, inclusi i binari direttamente distribuiti. Tuttavia, "Maven Central è un forte proxy per lo stato dell'ecosistema".
“Per quanto riguarda l'impatto sull'ecosistema, 8% è enorme. L'impatto medio sull'ecosistema degli avvisi che interessano Maven Central è 2%, con la mediana inferiore allo 0,1%", ha aggiunto Google.
La notizia un po' buona
Al momento della pubblicazione dei loro risultati (Dicembre 17), Google ha stimato che quasi cinquemila degli artefatti interessati sono stati riparati, rappresentando "una risposta rapida e un enorme sforzo sia da parte dei manutentori di log4j che della più ampia comunità di consumatori open source".
Tuttavia, 30,000 gli artefatti sono ancora interessati, molti dei quali dipendono da un altro artefatto da correggere, nota come dipendenza transitiva, e probabilmente sono bloccati.
In una nota diversa, l'exploit CVE-2021-44228 log4j è stato recentemente abusato da un nuovo gruppo di ransomware, noto come Concerto. Gli Stati Uniti. La Cybersecurity and Infrastructure Security Agency è stata quella che ha reso noto lo sfruttamento attivo della falla.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: