Bleeping Computer 網站消息，大約有 38% 采用 Apache Log4j 庫的應用程序使用的是存在安全問題的版本，其中包括 Log4Shell 漏洞，該漏洞被追蹤為 CVE-2021-44228，盡管兩年多前就有了修補程序，但目前的嚴重程度仍達到了最高級別。

Log4Shell 是一個未經驗證的遠程代碼執行 (RCE) 漏洞，攻擊者可以利用其完全控制使用 Log4j 2.0-beta9 及以上版本 2.15.0 的系統。2021 年 12 月 10 日，研究人員首次發現 Log4Shell 安全漏洞作，其廣泛的影響、易利用性和巨大的安全影響在當時引起了行業巨大的“震動”。

研究人員在發現安全漏洞問題后，立刻向所有受影響的項目維護者和系統管理員發出了安全通知，然而壞消息是，雖然發出了無數警告依然有大量組織在補丁可用后繼續使用易受攻擊的版本。更糟糕的是，漏洞披露和修復程序發布兩年后，仍有大量目標易受 Log4Shell 影響。

應用程序安全公司 Veracode 根據 8 月 15 日至 11 月 15 日期間收集的數據，編寫了一份安全報告，在報告中，Veracode 強調 Log4Shell 安全漏洞帶來的影響可能會持續很長一段時間。

鞏固攻擊面

Veracode 從 3866 個組織收集了 90 天的數據信息，這些組織使用 38278 個依賴 Log4j 的應用程序，版本在 1.1 到 3.0.0 之間。 在這些應用程序中，2.8% 使用 Log4J 版本 2.0-beta9 至 2.15.0，這些版本及其容易受到 Log4Shell 漏洞的直接影響。另有 3.8% 的應用程序使用 Log4j 2.17.0，雖然這個版本不會受到 Log4Shell 漏洞的影響，但卻容易受到 CVE-2021-44832 漏洞的影響（CVE-2021-44832 是一個遠程代碼執行漏洞，已在該框架的 2.17.1 版本中得到修復。）

32% 使用的是 1.2.x 版 Log4j ，該版本自 2015 年 8 月起已經停止支持更新，這些版本易受 2022 年之前發布的多個嚴重漏洞的影響，其中包括 CVE-2022-23307、CVE-2022-23305 和 CVE-2022-23302等安全漏洞。

Veracode 還發現，在其可見范圍內，總共約有 38% 的應用程序使用了不安全的 Log4j 版本，這一比例與 Sonatype 的軟件供應鏈管理專家在其 Log4j 面板上報告的情況非常接近，過去一周時間里，該庫 25% 的下載涉及到有漏洞的版本。

Log4j 版本下載 (Sonatype)

根據 Veracode 的調查結果，79% 的開發人員選擇在第三方庫首次納入代碼庫后則不再更新，以避免破壞功能。值得一提的是，即使 65% 的開源庫更新包含不太可能導致功能問題的小改動和修復，開發人員也不愿意更新。

此外，研究還表明 50% 的項目需要 65 天以上的時間來解決高嚴重性安全漏洞，在人員不足的情況下，修復積壓項目中一半的漏洞需要比平時多花 13.7 倍的時間，而在缺乏信息的情況下，處理 50%的漏洞需要 7 個多月的時間。

不幸的是，從 Veracode 的調查數據來看，Log4Shell 安全漏洞并沒有像許多安全從業者希望的那樣敲響安全“警鐘”。恰恰相反，目前每三個 Log4j 案例中就有 1 個存在安全風險，而且很容易成為威脅攻擊者入侵特定目標的途徑之一。

最后，安全研究專家強烈建議企業及時掃描其網絡環境，找出正在使用的開源庫版本，然后為所有這些庫制定緊急升級計劃。

參考文章：https://www.bleepingcomputer.com/news/security/over-30-percent-of-log4j-apps-use-a-vulnerable-version-of-the-library/