如今,核弹级ApacheLog4j库中的关键零日漏洞Log4Shell被发现已经过去了4个月。至于其他的漏洞,Log4Shell似乎快要成为“落伍的网红”了。但威胁分析师警告说,由于漏洞几乎无处不在,没有足够的应用程序可以有效修补。Log4Shell仍然是一个广泛而严重的安全威胁。4月26日,安全公司Rezilion发布了一份新的研究报告,显示截至4月底,40%的易受攻击的Log4j版本仍在使用。在查看来自Google的OpenSourceInsights服务的数据时,Rezilion发现在使用Log4j作为依赖项的17,840个开源包中,只有7,140个升级到安全版本。因此,其中60%的人仍然容易受到Log4Shell的攻击。在Shodan中搜索特定类别的开源容器时,Rezilion发现了90,000多个可能易受攻击的面向互联网的应用程序,其中包含过时或易受攻击的Log4j版本。一个典型的例子是ApacheSolr,在网络上总共发现了1657个公共部署,它仍在使用Log4j-core-2.16.0-jar。显然,最新的容器版本并没有被所有用户采用,因此网络上仍有数以万计的攻击面。对于那些使用过时且不再受支持的Log4j1.2.17版本的用户,包括AtlassianCrucible、Apachezeppelin、BitnamiKafka和BitnamiSpark。有一种误解认为Log4Shell不会影响旧的发布分支,但事实并非如此。Rezilion认为,当前更新状态不佳的原因很复杂,但包括缺乏适当的漏洞管理流程和漏洞可见性差。Log4j在生产环境中很难被检测到,一些企业组织不知道自己是否在使用它,使用的是哪个版本,哪些版本是安全的。正如CISA所强调的,黑客并不关心漏洞存在的时间有多长,他们只关心能否将漏洞带到目标设备上。目前,一些已有10年历史的漏洞仍在被积极利用,而Log4Shell目前似乎在这方面有很大的“潜力”。因此,专家建议用户扫描并确认系统环境,找到正在使用的版本。如果是过时或易受攻击的Log4j版本,请务必尽快制定升级计划。
