Deux cinquièmes des applications Log4j utilisent des versions vulnérables

Les organisations sont toujours exposées à des vulnérabilités critiques dans Log4j, deux ans après la découverte d’un bug de gravité maximale dans l’utilitaire populaire, selon Veracode.

Le fournisseur de sécurité des applications a analysé les données d’analyses de logiciels sur 90 jours entre le 15 août et le 15 novembre 2023. Celles-ci couvraient 38 278 applications uniques exécutant les versions 1.1 à 3.0.0-alpha1 de Log4j dans 3 866 organisations.

Le fournisseur a constaté que 38 % utilisent toujours des versions vulnérables de Log4j. La majorité (32 %) d’entre eux exécutent Log4j2 1.2.x, qui contient trois failles critiques : CVE-2022-23307, CVE-2022-23305 et CVE-2022-23302.

3,8 % supplémentaires utilisent Log4j2 2.17.0, qui contient CVE-2021-44832. Seuls 2,8 % sont encore sur des versions exposées aux vulnérabilités Log4Shell : Log4j2 2.0-beta9 à 2.15.0.

En savoir plus sur Log4j : Experts : le bug de Log4j pourrait être exploité pendant « des années »

La vulnérabilité Log4Shell d’origine (CVE-2021-44228) a été découvert pour la première fois en novembre 2021 et a immédiatement fait la une des journaux car le système de journalisation Apache dans lequel il se trouve est utilisé dans une vaste gamme d’applications – d’Apple iCloud à Elasticsearch – ainsi que dans une multitude de composants open source.

La vulnérabilité d’exécution de code à distance elle-même était également relativement facile à exploiter pour les acteurs malveillants, à condition qu’ils puissent forcer une application vulnérable à enregistrer une chaîne de caractères particulière.

En mars, certaines des pires craintes de la communauté de la sécurité se sont concrétisées après que de nouvelles recherches ont révélé que Log4Shell avait été utilisé comme vecteur d’infection initial dans 31 % des compromissions.

Veracode a fait valoir que même si les efforts massifs visant à corriger le bogue Log4j original ont été couronnés de succès, ses conclusions montrent qu’il reste encore du chemin à parcourir.

« Si Log4Shell était un autre exemple d’une longue série d’appels à l’adoption de pratiques de sécurité open source plus strictes, le fait que plus d’une application sur trois exécute actuellement des versions vulnérables de Log4j montre qu’il y a encore du travail à faire. » il a ajouté.

« Le principal point à retenir est que les organisations ne sont peut-être pas conscientes de l’ampleur des risques de sécurité open source auxquels elles sont exposées et de la manière de les atténuer. »