Mais de 30% de aplicações com Log4J ainda usam versões vulneráveis
De acordo com um estudo recente, cerca de 38% das aplicações que usam o módulo de Apache Log4j ainda se encontram a usar versões vulneráveis do mesmo. Isto inclui versões que estão vulneráveis ao Log4Shell, uma falha que conta com a gravidade máxima e que foi corrigida faz mais de dois anos.
A falha Log4Shell permite que código remoto seja executado nas aplicações, podendo levar ao controlo completo das mesmas. Esta afeta sistemas com o Log4j 2.0-beta9 até à 2.15.0.
Esta foi originalmente identificada a 10 de Dezembro de 2021, e tendo em conta a sua facilidade de ataque, bem como o possível impacto para os sistemas, é atualmente uma das mais exploradas para ataques em larga escala.
Apesar de a falha ter sido identificada, e corrigida, faz quase dois anos, ainda existe um elevado número de aplicações online que usam versões vulneráveis da mesma, e que estão abertas a possíveis ataques em larga escala. Este foi o resultado da análise feita pela empresa Veracode, que recolheu dados entre 15 de Agosto e 15 de Novembro de 2023.
De acordo com a análise, cerca de 3866 empresas usam mais de 38.278 aplicações com Log4j, entre as versões 1.1 e 3.0.0-alpha1. Destas 2.8% usam o Log4j entre as variantes 2.0-beta9 e 2.15.0, que estão diretamente vulneráveis ao Log4Shell.
Outras 3.8% encontram-se a usar o Log4j 2.17.0, que apesar de não se encontrar vulnerável ao ataque anterior, encontra-se a outra falha igualmente importante que pode permitir a execução remota de código – e que foi corrigida com o Log4j 2.17.1.
Por fim, 32% das aplicações ainda se encontram com o Log4j 1.2.x, que deixou de receber suporte em Agosto de 2015, e encontra-se vulnerável a várias falhas, incluindo a Log4Shell.
O uso de aplicações com versões desatualizadas ou vulneráveis continua a ser um dos principais problemas em vários ambientes empresariais. De acordo com os investigadores, a maioria das aplicações que usam estas versões desatualizadas não são corrigidas com versões mais recentes porque os programadores preferem não ter o trabalho de atualizar as mesmas – e evitando possíveis problemas que podem surgir dai.
O estudo aponta ainda que 79% dos programadores nunca chegam a atualizar os módulos usados inicialmente nas suas aplicações, para evitarem ter problemas de compatibilidade ou de falhas nas funcionalidades com a atualização – o que obrigaria a corrigir as mesmas e a reformular o código existente.
Isto apesar de 65% dos módulos open source em questão terem alterações que praticamente não causam impacto no código existente entre versões – exceto quando se realiza uma alteração de grande porte, como a mudança entre várias versões.
Apesar de o Log4Shell ter sido um exemplo que deveria ter reforçado a importância da segurança digital em vários meios, muitos acreditam que não terá sido suficiente para levar os programadores a atualizarem as suas apps a tempo.