43% van de Log4j-downloads zijn kwetsbare versies

Het zogenoemde Log4Shell-beveiligingsgat in de Apache-loggingtool Log4j werd op 10 december vorig jaar bekendgemaakt. Via de kwetsbaarheid kunnen aanvallers op afstand en zonder authenticatie eigen code uitvoeren op kwetsbare systemen; een zogeheten remote code execution (RCE)-fout.

Snel daarna maakte Sonatype een dashboard met daarop data over de downloads van Log4j, schrijft Dark Reading. Daaruit blijkt nu dat 43% van de Log4j-pakketten die tussen 4 februari en 10 maart gedownload werden, oudere versies zijn dan 2.15.0. 2.15.0 is de Log4j-versie die de gevonden kwetsbaarheid dicht en op 10 december verscheen. 

Veel meer kwetsbare versies

In die 2.15-patch zat echter ook weer een kwetsbaarheid, waarmee kwaadwillenden data kunnen downloaden van kwetsbare servers. En in de patch voor dat gat bleek weer een denial-of-servicekwetsbaarheid te zitten. In de derde patch zat ook weer een probleem: een nieuw RCE-gat. Rond de jaarwisseling verscheen een vierde en laatste patch, waarmee alle problemen verholpen werden. Versie 2.17.1 is dus de meest veilige versie van Log4j. 

In totaal is Log4j sinds 10 december dus 31,4 miljoen keer gedownload. Hoeveel van die downloads precies kwetsbare versies bevatte, is dus onduidelijk. Maar als we naar de meest recente statistieken kijken, kan dat aantal zomaar rond de 10 miljoen liggen. 

Dat al die kwetsbare versies überhaupt nog steeds te downloaden zijn, is omdat veel software afhankelijk is van deze versies. Als ze plotseling verwijderd worden, kan veel software dus kapot gaan. "Hoewel het verleidelijk kan zijn om onze eigen oordeel te laten gelden - wat mogelijk betekent dat we de kwetsbare versies verwijderen - is het eigenlijk het beste voor de gemeenschap als iedereen zijn eigen oordeel velt", zegt Ilkka Turunen, field CTO bij Sonatype, tegenover Dark Reading. 

Waarom downloaden we ze?

De vraag is natuurlijk waarom zoveel mensen nog altijd de kwetsbare versies van Log4j downloaden. Travis Smith, vicepresident van malware threat research bij Qualys, zegt tegenover Dark Reading dat er meerdere redenen zijn. De belangrijkste oorzaak is volgens hem dat er gebruik wordt gemaakt van geautomatiseerde build-systemen, die zo geconfigureerd zijn dat ze specifieke versies van de dependencies downloaden. "Als degene die de software onderhoud niet goed op het nieuws rondom Log4j heeft gelet, blijft de applicatie kwetsbaar voor misbruik."

Daarnaast zit Log4j vaak begraven in Java-applicaties, waardoor het voor organisaties lastig is om het probleem te detecteren en op te lossen. Het kan dus zo zijn dat veel van de kwetsbare versies die nu gedownload worden, bedoeld zijn voor projecten die de tijd die nodig is om te upgraden niet kunnen rechtvaardigen, aldus Smith. Tot slot kan het zo zijn dat kwetsbare versies gedownload worden door onderzoekers of door aanvallers die hun eigen exploits proberen te testen.