Veracode ha publicado los resultados de un estudio sobre la relevancia de las vulnerabilidades críticas en la biblioteca Java Log4j, identificadas el año pasado y el anterior. Después de estudiar 38278 aplicaciones utilizadas por 3866 organizaciones, los investigadores de Veracode descubrieron que el 38% de ellas utilizan versiones vulnerables de Log4j. La razón principal para seguir usando código heredado es la integración de bibliotecas antiguas en proyectos o la laboriosidad de migrar de ramas no compatibles a nuevas ramas que son compatibles con versiones anteriores (a juzgar por un informe anterior de Veracode, el 79% de las bibliotecas de terceros migraron al proyecto). el código nunca se actualiza posteriormente).
Hay tres categorías principales de aplicaciones que utilizan versiones vulnerables de Log4j:
- El 2.8% de las aplicaciones siguen utilizando las versiones de Log4j desde la 2.0-beta9 hasta la 2.15.0, que contienen la vulnerabilidad Log4Shell (CVE-2021-44228).
- El 3.8% de las aplicaciones utilizan la versión Log4j2 2.17.0, que corrige la vulnerabilidad Log4Shell, pero deja sin corregir la vulnerabilidad de ejecución remota de código (RCE) CVE-2021-44832.
- El 32% de las aplicaciones utilizan la rama Log4j2 1.2.x, cuyo soporte finalizó en 2015. Esta rama se ve afectada por las vulnerabilidades críticas CVE-2022-23307, CVE-2022-23305 y CVE-2022-23302, identificadas en 2022 7 años después de finalizar el mantenimiento.
Fuente: opennet.ru