Home Sociedad Dos quintas partes de las aplicaciones Log4j, utilizan versiones vulnerables

Dos quintas partes de las aplicaciones Log4j, utilizan versiones vulnerables

Las organizaciones todavía están expuestas a vulnerabilidades críticas en Log4j, dos años después de que se encontrara un error de máxima gravedad en la popular utilidad, según Veracode.

El proveedor de seguridad de aplicaciones analizó datos de escaneos de software durante 90 días entre el 15 de agosto y el 15 de noviembre de 2023. Estos cubrieron 38,278 aplicaciones únicas que ejecutaban Log4j versiones 1.1 a 3.0.0-alpha1 en 3866 organizaciones.

El proveedor descubrió que el 38% todavía usa versiones vulnerables de Log4j. La mayoría (32%) de ellos ejecuta Log4j2 1.2.x, que contiene tres fallas críticas: CVE-2022-23307, CVE-2022-23305 y CVE-2022-23302.

Otro 3,8% ejecuta Log4j2 2.17.0, que contiene CVE-2021-44832. Sólo el 2,8% todavía tiene versiones expuestas a las vulnerabilidades de Log4Shell: Log4j2 2.0-beta9 a 2.15.0.

La vulnerabilidad Log4Shell original (CVE-2021-44228) se descubrió por primera vez en noviembre de 2021 e inmediatamente apareció en los titulares porque el sistema de registro Apache en el que se encuentra se utiliza en una amplia gama de aplicaciones, desde Apple iCloud hasta Elasticsearch, así como en una multitud. de componentes de código abierto.

La vulnerabilidad de ejecución remota de código en sí también era relativamente fácil de explotar para los actores de amenazas, siempre que pudieran obligar a una aplicación vulnerable a registrar una cadena particular de caracteres.

En marzo, algunos de los peores temores de la comunidad de seguridad se hicieron realidad después de que una nueva investigación revelara que Log4Shell se había utilizado como vector de infección inicial en el 31% de los ataques.

Veracode argumentó que aunque el esfuerzo masivo para corregir el error original de Log4j ha sido exitoso, sus hallazgos muestran que todavía queda camino por recorrer.