De ernstige kwetsbaarheid in Log4j is nog in duizenden applicaties aanwezig. Beveiligingsonderzoekers waarschuwen dat de kwetsbaarheden eenvoudig gevonden kunnen worden door cybercriminelen.
Hoewel de kwetsbaarheid in Log4j in december 2021 ontdekt werd, blijken momenteel nog een boel applicaties onveilig verder te bestaan. De beheerders laten het na om de vrijgegeven patches te installeren. Tot deze ontdekking kwamen onderzoekers bij het cybersecurity-bedrijf Rezilion.
Hoge aantallen
Het rapport geeft mee dat meer dan 90.000 applicaties en meer dan 68.000 servers nog kwetsbaar zijn. Het gaat om hoge aantallen die de onderzoekers ontdekten door de IoT-zoekmachine Shodan te analyseren.
De onderzoekers benadrukken dat de analyse niet alle servers en applicaties kan ontdekken die nog kwetsbaarheden bevatten. De resultaten zijn ‘slechts het topje van de ijsberg’. De onderzoekers zijn dan ook teleurgesteld in de cyberbeveiliging van de organisaties die patches niet installeren: “Een organisatie moet over processen beschikken die de omgeving continu controleren op kritieke kwetsbaarheden, met extra aandacht voor code van derden.”
Opletten bij downloads
Verder is het ook belangrijk goed op de hoogte te zijn welke versies van Log4j veilig zijn. Sinds de ontdekking werd een kwetsbare versie nog vier miljoen keer gedownload. Alle kwetsbaarheden werden vanaf Log4j versie 2.15 en 2.16 geëlimineerd.
Heb je in december niet meegekregen dat er een bug in Log4j werd ontdekt? Lees dan hier ons stuk waarin we precies uitleggen wat de kwetsbaarheid is en waarom de bug zo gevaarlijk is. Verder publiceerden we ook een gids om je eigen Java-projecten te controleren op de kwetsbaarheid.