De kwetsbaarheid in loggingbibliotheek Log4j zal nog jaren nazinderen. Onderzoek toont aan hoe tienduizenden projecten wereldwijd kwetsbare componenten bevatten. Een eenvoudige oplossing bestaat niet.
Log4Shell, de kwetsbaarheid in de opensource-loggingbibliotheek Log4j, zal nog jaren voelbaar blijven. Dat komt voor een stuk omdat het voor IT’ers niet altijd duidelijk is of ze gebruik maken van software of componenten die Log4j integreren. De bibliotheek zelf is immers een populair onderdeel van software wereldwijd. Grote organisaties zoals VMware zijn bij de pinken en werken snel aan patches, maar wat met minder duidelijk ondersteunde software?
Onder de radar
Google ontdekte eerder al dat er ongeveer 17.000 pakketjes in het Maven Central Repository voor Java kwetsbaar zijn. Beveiligingsbedrijf JFrog ging intussen op zoek naar andere pakketten waarin Log4j-code rechtstreeks verwerkt zit, dus niet als klassieke dependency. Dat is een minder voorkomend scenario, maar JFrog ontdekte toch nog ongeveer 400 nieuwe kwetsbare componenten in Maven Central.
De ontdekking toont aan dat het onvoldoende is om op zoek te gaan naar software waar de kwetsbare bibliotheek in gebruikt wordt. Om zeker te zijn, moet je eigenlijk scannen op de kwetsbare code zelf. Dat is natuurlijk een stuk complexer, en illustreert meteen waarom beveiligingsonderzoekers wereldwijd vrezen dat Log4Shell nog vele jaren als achterpoortje zal dienen voor hackers.