Veracodeはこのほど、「State of Log4j Vulnerabilities: How Much Did Log4Shell Change?|Veracode」において、Apache Log4jを使用するアプリケーションの約38%が現在も脆弱なバージョンのLog4jを使用していると伝えた。
調査からわかったApache Log4jの脆弱な状況
Apache Log4jはソフトウェアにログの出力機能を提供するオープンソースのライブラリ。2021年12月に「Log4Shell」と呼ばれる最大の深刻度の重大な脆弱性が発見された。VeracodeはLog4Shellが発見されてから2周年を迎えるとして、Log4jの脆弱性の状況を調査し、オープンソースソフトウェア(OSS)のセキュリティがどのように改善されたか評価している。
この調査では2023年8月15日から11月15日(米国時間)までの90日間に渡って3,866の組織で実行されている38,278個のアプリケーションについて分析している。
主な分析結果は次のとおり。
- アプリケーションの2.8%が依然としてLog4Shellの影響を受けるLog4j2バージョン2.0 beta9 から2.15.0を使用している
- アプリケーションの3.8%がCVE-2021-44832で追跡される脆弱性の影響を受けるLog4j2バージョン2.17.0を使用している。CVE-2021-44832は攻撃者がLDAPサーバを制御できる場合に、JNDI LDAPデータソースURIを持つJDBC Appenderを使用する設定において、リモートコードを実行する可能性がある脆弱性。このバージョンが多く利用されている原因は、管理者および開発者がLog4Shellの脆弱性に対処したのち、ほかの脆弱性の対処を怠っているためとみられる
- アプリケーションの32%がLog4jバージョン1.2.x を使用している。バージョン1.2.xは2015年8月にサポートが終了しており、重大な脆弱性が存在するためアップグレードが推奨されている
OSSの脆弱性を解消するための対策
VeracodeはApache Log4jの3分の1以上が脆弱なバージョンを実行しているという事実から、組織がOSSのセキュリティについて把握できていない可能性があるとして、この問題についても調査を行っている。その結果、開発者はサードパーティのライブラリを組み込んだ後、79%の確率でライブラリを更新しないことが判明。
ところが、脆弱なライブラリについて警告を受けると開発者は比較的迅速に修正することもわかったとしている。これらから、開発者は脆弱性についての情報が不足しているか、または開発リソースが不足しているために脆弱性への対応が遅れるものと結論づけている。
Veracodeはこのような問題に対処するために、組織や開発者はアプリケーションに何が組み込まれているか正しく把握しておくことが重要と指摘している。Apache Log4jやオープンソースソフトウェアに由来するコンポーネントを自社のアプリケーションに組み込んでいる企業や開発者には、自社のアプリケーションに含まれているソフトウェアのバージョンと脆弱性の有無を定期的に確認し、脆弱性が存在する場合は速やかに対処することが望まれている。