Maar liefst 38 procent van de applicaties die de Log4j-bibliotheek gebruiken, zijn kwetsbaar voor beveiligingsproblemen. Ondanks dat patches al meer dan twee jaar beschikbaar zijn, ligt dit percentage bitter hoog.
De door Apache Software Foundation ontwikkelde logtool, Log4j, is een veelgebruikte tool binnen Java. Ondanks dat er twee jaar geleden een bug (onder de naam Log4Shell) werd ontdekt, wordt vandaag nog steeds 38 procent van de applicaties als kwetsbaar beschouwd.
Kwetsbaarheid Log4Shell
Log4j is een open-source tool die ontwikkeld is door de Apache Software Foundation. Deze tool wordt veel gebruikt door project- en systeembeheerders voor het loggen van Java-applicaties. In december 2021 werd er echter een bug ontdekt onder de naam Log4Shell. Dit is een RCE-fout (Remote code Execution) die mogelijks volledige controle kan krijgen over systemen. Destijds werd een grote campagne opgestart om getroffen beheerders hiervoor te waarschuwen.
Ondanks dat patches al meer dan twee jaar beschikbaar zijn, zijn 38 procent van de apps uit de Log4j-bibliotheek kwetsbaar.
Onderzoeksresultaten Veracode
Veracode verzamelde gedurende 90 dagen gegevens van 3.866 bedrijven die 38.278 applicaties gebruiken die gebaseerd zijn op Log4j. Hieruit bleek dat ongeveer 38 procent van de apps een onveilige versie van Log4j gebruiken.
Uit het onderzoek bleek bovendien dat 79 procent van de ontwikkelaars ervoor kiest om bibliotheken van derden nooit te updaten om te voorkomen dat hun functionaliteit kapot gaat. Ook al gaat dit over kleine wijzigingen en reparaties die waarschijnlijk geen problemen veroorzaken, dan nog doet 65 procent van de ontwikkelaars dit niet. Zolang ontwikkelaars deze verouderde bibliotheekversies blijven gebruiken, zal het probleem zich aanhoudend voortzetten.