Log4j og Log4Shell. Bare navnene giver mindelser om panik, krisestemning og lange arbejdsdage i december for to år siden.
Log4Shell var den nuldags-sårbarhed, der fik virksomheder overalt i verden til at sætte alarmberedskabet i sving for at gennemgå hele den interne struktur.
Sårbarheden viste sig i Java-værktøjet Apache, som anvendes til webserver-implementeringer i hundredtusindvis af virksomheder og myndigheder verden over.
Fejlen gjorde – og gør – det nemt for cyberkriminelle at få adgang til forretningskritiske og essentielle systemer.
Man skulle så måske tro, at problemerne her to år efter skulle være patchet og løst og Log4Shell derfor ikke skulle have en chance
Men det er langt fra tilfældet.
Hver tredje er fortsat usikker
Faktisk viser en ny stor undersøgelse foretaget af softwareanalyse-selskabet Veracode, at ikke mindre end hver tredje webapplikation i verden kører en usikker version af Log4j, som nåede end-of-life i 2015 og ikke længere modtager sikkerhedsopdateringer.
Der er tale om den version, der hedder Log4j2 1.2.x.
Apache annoncerede så sent som i januar 2022 tre kritiske usikkerheder i denne version, nemlig CVE-2022-23307, CVE-2022-23305 og CVE-2022-23302.
Inklusive disse er der i alt syv alvorlige usikkerheder knyttet til denne version, siden den nåede end-of-life.
Veracodes undersøgelse afslører også, at 2,8 procent af webapplicationerne i verden faktisk bruger en version af Log4j, som har Log4Shell-usikkerhederne - nemlig Log4j2 2.0-beta9 til 2.15.0.
3,8 procent af applikationerne bruger stadig Log4j2 2.17.0, som faktisk er patchet mod Log4Shell, men som indeholder den alvorlige usikkerhed kaldet CVE-2021-44832.
Veracode skriver i en kommentar til resultaterne, at der stadig er plads til forbedringer når det gælder sikkerhed i open source-software.
Selskabet understeger også som den vigtigste pointe, at virksomheder og organisationer verden over formentlig ikke er klar over, hvor stor en open source-sikkerhedsrisiko de er udsat for, og hvordan de skal afbøde det.
Veracodes undersøgelse blev foretaget over 90 dage mellem 15. august og 15. november i år.
Selskabet foretog softwarescanninger af ikke mindre end 38,278 unikke applikationer i 3.866 virksomheder og organisationer, som kørte Log4j version 1.1 til 3.0.0-alpha1.
Læs om Log4j: