Каждое четвертое приложение, использующее Log4j, до сих пор уязвимо перед Log4Shell Множество приложений, использующих библиотеку
Apache Log4j, используют версии, уязвимые перед различными проблемам, включая нашумевшую уязвимость
Log4Shell (CVE-2021-44228), хотя с момента ее обнаружении и исправления прошло уже больше двух лет.
Напомним, что в середине декабря
2021 года разработчики
Apache Software Foundation выпустили экстренное обновление безопасности, исправляющее 0-day-уязвимость
(CVE-2021-44228) в популярной библиотеке журналирования
Log4j, входящей в состав
Apache Logging Project. Срочность объяснялась тем, что ИБ‑специалисты уже начали публиковать в открытом доступе PoC-эксплоиты, объясняя, что использовать баг можно было удаленно, причем для этого не требовались особые технические навыки.
Проблема была назвала Log4Shell и, разумеется, атаки на нее не заставили себя ждать. Вскоре уязвимость стала одной из наиболее используемых хакерами, ведь
злоумышленники начали искать в интернете любые Java-приложения, которые могли использовать библиотеку
Log4j, и тестировали на них эксплоиты.
К проблеме
Log4Shell было привлечено много внимания, так как ее широкий охват и простота использования заинтересовали множество злоумышленников. Однако теперь аналитики
Veracode пишут, что обширная кампания по уведомлению сопровождающих затронутых проектов и системных администраторов оказалось
не слишком успешной.
