35,000 Java-pakketten beïnvloed door de Log4j-kwetsbaarheden
Google zegt dat meer dan 35,000 Java-pakketten worden momenteel beïnvloed door de Log4j-kwetsbaarheden, "met wijdverbreide gevolgen in de software-industrie." Dit komt neer op meer dan 8% van de Maven Central-repository, die wordt beschouwd als de belangrijkste opslagplaats voor Java-pakketten.
de beveiligingslekken, inclusief de originele Log4Shell (log4j) exploit bekend als CVE-2021-44228 en een tweede uitvoering van externe code (RCE) fout in de Log4Shell-patch bekend als CVE-2021-45046, bedreigingsactoren in staat kunnen stellen RCE-aanvallen uit te voeren. Deze aanvallen kunnen plaatsvinden als de kwetsbare JNDI-zoekfunctie wordt misbruikt door de logbibliotheek log4j. Het probleem is dat de exploiteerbare functie standaard was ingeschakeld in veel versies van de bibliotheek, Google uitgelegd.
De Log4j-exploit "heeft het ecosysteem van informatiebeveiliging geboeid sinds de onthulling op 9 december vanwege zowel de ernst als de wijdverbreide impact,Google merkte op. De populaire logging-tool wordt gebruikt door talloze softwarepakketten en projecten op softwaregebied. Het ergste is dat het patchen van de exploit een uitdaging is vanwege het gebrek aan inzicht van de gebruiker in hun afhankelijkheden en transitieve afhankelijkheden. De volledige impact van de exploit is ook moeilijk te boeien en te bepalen.
Zover, Google heeft ontdekt 35,863 van de beschikbare Java-artefacten in Maven Central die afhankelijk zijn van de kwetsbare Log4j-code. Echter, deze nummers komen niet overeen met alle Java-pakketten, inclusief direct gedistribueerde binaire bestanden. Echter, "Maven Central is een sterke proxy voor de toestand van het ecosysteem".
“Wat de impact op het ecosysteem betreft, 8% is enorm. De gemiddelde impact op het ecosysteem van adviezen die van invloed zijn op Maven Central is: 2%, met de mediaan van minder dan 0,1%,” voegde Google toe.
Het enigszins goede nieuws
Op het moment van publicatie van hun bevindingen (December 17), Google schat dat bijna vijfduizend van de getroffen artefacten zijn gerepareerd, wat neerkomt op "een snelle reactie en enorme inspanning van zowel de log4j-beheerders als de bredere gemeenschap van open source-consumenten."
Echter, 30,000 artefacten worden nog steeds beïnvloed, waarvan vele afhankelijk zijn van een ander artefact om te patchen, bekend als transitieve afhankelijkheid, en zijn waarschijnlijk geblokkeerd.
Even iets anders, de CVE-2021-44228 log4j exploit was onlangs misbruikt door een nieuwe ransomware-groep, bekend als Concert. de U.S.. Cybersecurity and Infrastructure Security Agency was degene die de actieve exploitatie van de fout openbaar maakte.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: