Vier miljoen downloads van een kwetsbare versie van Log4j op vier weken tijd, goed voor veertig procent van alle Log4j-downloads. Dat kan veel beter.
Een maand geleden kwam een ernstige kwetsbaarheid binnen Log4j aan het licht, een populaire opensourcetool om logs te genereren voor toepassingen gebouwd op Java. Onder de naam Log4Shell werd honderdduizenden organisaties brutaal wakker gemaakt. Staatsgesponsorde hackers omarmden de kwetsbaarheid en zelfs het Belgische Ministerie van defensie werd getroffen voor een Log4Shell-aanval.
Na een hele reeks van updates is Log4j vandaag veilig, maar de kwetsbaarheid blijft een populair doelwit voor hackers. Je zou denken met zo’n ernstig probleem als Log4Shell dat ontwikkelaars op hun hoede zijn, maar volgens The Register werden er na de bekendmaking van het lek nog vier miljoen kwetsbare versies van Log4j gedownload. Dat aantal was goed voor 40 procent van alle downloads van Log4j.
Sonatype, beheerder van de Apache Maven Central Repository, maakt zich zorgen om dat enorme aantal downloads. Ilkka Turunen, CTO van Sonatype: “Het is niet duidelijk of de downloads dienen voor legacy-software of om versies te testen, maar het is duidelijk dat heel wat gebruikers oude versies blijven downloaden. Mogelijk weten ze niet eens dat de versie oud is en in dit geval heel gevaarlijk.”
Gelukkig ook nog goed nieuws
Sonatype benadrukt wel dat afgelopen weekend heel veel gebruikers (42 procent) specifiek de nieuwste versie downloaden, Log4j versie 2.17 en 2.17.1. Alle kwetsbaarheden werden vanaf Log4j versie 2.15 en 2.16 geëlimineerd. Dit toont aan dat gebruikers niet enkel de gepatchte versie downloaden, maar echt de nieuwste. Hopelijk trekt deze trend verder door, want de kwetsbaarheid binnen Log4j is heel kritiek.
Hopelijk heb je ondertussen al je Java-projecten al onderzocht op de aanwezigheid van Log4j en de bijhorende kwetsbaarheid. Wie dat nog niet heeft gedaan, raden we aan om onmiddellijk onze gids te volgen.
lees ook