Un recente rapporto di Veracode rivela che quasi il 40% delle applicazioni utilizza ancora versioni vulnerabili della libreria Apache Log4j, due anni dopo la divulgazione della vulnerabilità critica zero-day. Questa divulgazione ha scatenato una corsa tra le organizzazioni per contenere i danni potenziali, ma sembra che la battaglia sia tutt'altro che conclusa.
Secondo il rapporto, quasi un terzo delle applicazioni si basa sull'obsoleto Log4j2 1.2.x, che ha smesso di ricevere aggiornamenti correttivi nell'agosto 2015. Ancora più preoccupante è il fatto che il 2,8% delle applicazioni utilizzi ancora versioni suscettibili della famigerata vulnerabilità Log4Shell.
Sebbene alcuni sviluppatori abbiano inizialmente risposto implementando aggiornamenti di sicurezza, il rapporto indica una tendenza preoccupante. Chris Eng, Chief Research Officer di Veracode, sottolinea il problema affermando:
"Gli sviluppatori devono assumersi un livello di responsabilità per le proprie applicazioni e c'è sicuramente spazio per miglioramenti quando si tratta di sicurezza del software open source".
Il rapporto rivela inoltre che il 3,8% delle applicazioni opera su Log4j2 2.17.0, che è stato patchato contro Log4Shell, ma che nasconde un'altra vulnerabilità critica: CVE-2021-44832, una falla ad alta gravità per l'esecuzione di codice remoto.
Nonostante gli sforzi per riformare le pratiche di sicurezza nello sviluppo del software e nell'utilizzo di risorse aperte, i risultati sottolineano che c'è ancora molto lavoro da fare. Gli sviluppatori hanno inizialmente abbracciato gli aggiornamenti di sicurezza, installando la versione 2.17.0, ma molti non hanno mantenuto la diligenza, tornando alle vecchie abitudini e trascurando le patch successive, come evidenziato da Eng.
Un portavoce del team di risposta alla sicurezza della Apache Software Foundation (ASF) ha sottolineato l'urgenza dell'aggiornamento e ha dichiarato:
"Log4j è stato da tempo aggiornato a una versione non vulnerabile nei progetti sotto l'ombrello della Apache Software Foundation, e questo vale anche per il più ampio ecosistema open source attivo".
I dati del rapporto derivano dall'analisi di oltre 38.000 applicazioni in 3.866 organizzazioni per un periodo di 90 giorni. I ricercatori hanno analizzato versioni di software che vanno da Log4j 1.1 a 3.0.0 alpha 1, fornendo una visione completa delle sfide persistenti.
Riflettendo sui risultati, appare evidente che la crisi di Log4j continua a rappresentare una minaccia significativa. Il viaggio verso la completa risoluzione di queste vulnerabilità sembra essere una maratona piuttosto che uno sprint, che richiede un impegno costante da parte della comunità degli sviluppatori e delle organizzazioni.