在 Log4Shell 高危漏洞事件披露几乎整整一年之后,新的数据显示,对全球大多数组织来说,补救工作是一个漫长、缓慢、痛苦的过程。
根据漏洞扫描领先者 Tenable 公司的遥测数据来看,截至今年10月,超过70%被扫描的企业仍然受到 Log4shell 漏洞(CVE-2021-44228)的影响,这可能会导致企业持续面临数据泄露的风险。Tenable 称,他们收集了超过5亿次测试的数据,发现有高达72%的企业仍在努力补救去年12月的 Log4j 漏洞。“当2021年12月,Log4shell漏洞被发现时,世界各地的组织争相确定其风险。在其披露后的几周内,各个组织将资源集中于研究此漏洞,并投入数万小时来进行识别和修复,”Tenable 说,一个联邦机构报告称,其安全团队仅在Log4j漏洞响应方面就投入了33,000小时。
Tenable 遥测发现,截止2021年12月,每10个企业资产中就有1个易受 Log4shell 漏洞攻击。这些暴露的资产包括各类服务器、网络应用程序、容器和物联网设备。到2022年10月的数据则有所改善,只有2.5%的资产易受影响,但值得警惕的是,在这些资产中有近三分之一(29%)的资产在进行全面修复之后,依旧再次受到 Log4shell的影响。“对于如此广泛存在的漏洞,全面修复是难以实现的,并且需要记住漏洞修复并非一劳永逸的过程。”Tenable 首席安全官 Bob Huber说。
Huber 解释说,虽然企业可能已经完全修复了这个漏洞,但随着新的资产(如电脑、服务器、存储设备、容器、云实例等)进入企业环境中,他们仍有可能再次遇到 Log4shell 的问题。扫描数据显示,全球已完全修复该问题的企业或组织的数量增加了14个百分点。
“超过一半的组织在研究期间容易受到 Log4j 的攻击,这突显了 Log4j 的普遍性以及持续修复的必要性,即便之前已经实现了完全修复。”Tenable 说,“截至2022年10月,29%曾感染漏洞的资产在实现全面修复后再次重新引入了 Log4Shell。”
在经历了此次事件之后,美国政府呼吁业界采用相关工具和程序来管理数字化资产和漏洞,记录漏洞应对方案、优化 SBOM 工具,并增加对开源软件安全的投入。
参考链接:
https://www.securityweek.com/one-year-later-log4shell-remediation-slow-painful-slog