写点什么

Log4Shell 漏洞披露已近一年,它对我们还有影响吗?

  • 2022-12-05
    广东
  • 本文字数:873 字

    阅读完需:约 3 分钟

在 Log4Shell 高危漏洞事件披露几乎整整一年之后,新的数据显示,对全球大多数组织来说,补救工作是一个漫长、缓慢、痛苦的过程。 


根据漏洞扫描领先者 Tenable 公司的遥测数据来看,截至今年 10 月,超过 70%被扫描的企业仍然受到 Log4shell 漏洞(CVE-2021-44228)的影响,这可能会导致企业持续面临数据泄露的风险。Tenable 称,他们收集了超过 5 亿次测试的数据,发现有高达 72%的企业仍在努力补救去年 12 月的 Log4j 漏洞。“当 2021 年 12 月,Log4shell 漏洞被发现时,世界各地的组织争相确定其风险。在其披露后的几周内,各个组织将资源集中于研究此漏洞,并投入数万小时来进行识别和修复,”Tenable 说,一个联邦机构报告称,其安全团队仅在 Log4j 漏洞响应方面就投入了 33,000 小时。 


Tenable 遥测发现,截止 2021 年 12 月,每 10 个企业资产中就有 1 个易受 Log4shell 漏洞攻击。这些暴露的资产包括各类服务器、网络应用程序、容器和物联网设备。到 2022 年 10 月的数据则有所改善,只有 2.5%的资产易受影响,但值得警惕的是,在这些资产中有近三分之一(29%)的资产在进行全面修复之后,依旧再次受到 Log4shell 的影响。“对于如此广泛存在的漏洞,全面修复是难以实现的,并且需要记住漏洞修复并非一劳永逸的过程。”Tenable 首席安全官 Bob Huber 说。 


Huber 解释说,虽然企业可能已经完全修复了这个漏洞,但随着新的资产(如电脑、服务器、存储设备、容器、云实例等)进入企业环境中,他们仍有可能再次遇到 Log4shell 的问题。扫描数据显示,全球已完全修复该问题的企业或组织的数量增加了 14 个百分点。 


“超过一半的组织在研究期间容易受到 Log4j 的攻击,这突显了 Log4j 的普遍性以及持续修复的必要性,即便之前已经实现了完全修复。”Tenable 说,“截至 2022 年 10 月,29%曾感染漏洞的资产在实现全面修复后再次重新引入了 Log4Shell。” 


在经历了此次事件之后,美国政府呼吁业界采用相关工具和程序来管理数字化资产和漏洞,记录漏洞应对方案、优化 SBOM 工具,并增加对开源软件安全的投入。 


参考链接:

https://www.securityweek.com/one-year-later-log4shell-remediation-slow-painful-slog

发布于: 刚刚阅读数: 5
用户头像

软件供应链安全专家 2020-11-05 加入

公众号:SEAL安全

评论

发布
暂无评论
Log4Shell 漏洞披露已近一年,它对我们还有影响吗?_Log4Shell_SEAL软件供应链安全_InfoQ写作社区