持续的威胁:为什么像 Logell 和 Springell 这样的重大漏洞仍然很严重
2024-09-04 20:14:42
作为开发人员,我们不断应对功能、修复和截止日期。然而,令人惊讶的是,一个潜在的问题被忽略了:在许多项目中继续使用易受攻击的问题 Log4j 和 Spring Framework 版本。尽管 Log4Shell 和 Spring4Shell 漏洞备受关注,但数量惊人的应用程序仍在这些定时炸弹上运行。这不仅仅是一个小疏忽,更是一个重大风险。我们本质上是建筑商,但建筑的一部分是为了确保我们的结构安全。
开发商的困境作为开发人员,我们不断平衡推出新功能,维护现有项目和功能。这是一种平衡行为,需要我们的时间和充分的认知带宽。跟踪每个项目的依赖性,确保它们是最新的,感觉就像一场艰苦的战斗,尤其是在交付新功能的压力下。在这种杂耍行为中,就像 Log4Shell 和 Spring4Shell 有时候这样的关键漏洞可能会被漏掉,不是因为疏忽,而是因为我们每天管理的任务量巨大。然而,必须认识到,令人兴奋的应用程序的安全性是当今软件开发的关键方面。
Log4shell的当前状态还记得 Log4Shell 吗? 2021 年在 Apache Log4j 这个令人讨厌的漏洞可能会让攻击者通过记录特殊字符串在你的服务器上运行代码?攻击者可以使用 LDAP 协议的 JNDI 查找注入预编译文件并执行恶意代码的类别。即使在更新版本中 Java 这个漏洞也可能因反序列化攻击而损坏。这个严重漏洞的攻击复杂性被认为很低,这使得威胁比平时更高。请查看我们的博客文章,了解问题的完整细节。
超过 20% 公司仍然很容易接受 Log4shell 的攻击。如今,许多公司的项目之一仍然过时且容易受到攻击 Log4j 库版本。扫描所有生产代码是否存在漏洞 Snyk 客户中,21% 这些项目仍然很容易接受 Log4Shell 的影响。这意味着超过 60k 一个项目仍然面临着原因 2 多年前披露和修复的漏洞造成损害的风险。那是巨大的!知道这些公司已经使用了安全工具,并且正在积极缓解他们遇到的安全问题,因此存在漏洞 log4j 实际版本数量将远高于此。这个想法不仅令人恐惧,而且非常令人不安。
Spring4Shell 在野外另一个臭名昭著的例子是 Spring4Shell,它于 2022 年 3 月被披露。spring-beans 漏洞也可能导致恶意远程代码执行。虽然攻击复杂性低,对特定案例有利用,但影响不如log4Shell大。查看专门的博客文章,了解更多详细信息。
通过在 2022 年 4 月利用新的漏洞将漏洞扩展到 Glassfish,Snyk 除了首次使用外,团队还证明了这一漏洞非常重要 tomcat 此外,在更多情况下可能会被滥用。
类似Log4Shell,我们发现Spring4Shell仍然适用于野外。大约 35% 客户在其项目之一中仍存在漏洞。尽管 Spring4Shell 漏洞的风险不如 Log4Shell 这么严重,但是 Snyk 通过识别和开发团队 Glassfish 概念验证的漏洞 (POC) 展示了一系列潜在的漏洞利用。这证明,看似较小的风险仍然可能导致重大的安全漏洞。未发布漏洞使用程序的事实并不意味着应用程序不会被漏洞破坏!
另外,它表现了很多 Spring 应用程序依赖于旧的、过时的框架版本,现有应用程序的更新和服务被认为并不重要。然而,在我们的内心深处,我们知道这是一颗随时可能爆炸的定时炸弹。
给所有维护应用程序的人敲响警钟让我们保持简单明了。众所周知,当我们的代码最终顺利运行时,我们会感到自豪,我们最不想做的就是返回并混淆它,尤其是像更新库这样愚蠢的事情。但事情是这样的:这些 Log4Shell 和 Spring4Shell 漏洞不会自行修复。说实话,它们不仅仅是我们可以忽略的小错误。它们是我们应用程序墙上的漏洞。如果你的环境仍然存在 Log4Shell 或 Spring4Shell 等待漏洞,那么你就不必要容易受到高度严重的攻击!
Snyk 应用程序中的安全漏洞可以通过检测和帮助来帮助您解决这个问题。它通过多种方式与开发工作流程进行集成,例如通过 Git 存储库,命令行界面 (CLI) 或现有的持续集成 (CI) 在开发周期的早期阶段,管道使开发人员能够识别安全风险,避免它们成为更大的问题。注册是免费的,其功能可以立即使用。然而,真正的价值在于识别后如何管理和解决发现的漏洞。
我们必须在这里承担责任。这不仅仅是为了找到一个快速的补丁或希望一个简单的更新来解决这个问题。有时,我们需要硬调用来删除或更换易受攻击的库。是的,这可能会让我们放慢速度,这不是我们工作中最令人兴奋的部分,但它至关重要。这是为了确保我们的代码是可靠的,不仅是今天,而且是长期的。
因此,我们不应该等待其他人来解决这些问题。在适当的工具的帮助下,我们可以尽快发现这些漏洞,但我们必须采取行动。我们有责任加强防御,修复这些漏洞,确保我们的应用程序安全。让我们开始,不仅是作为程序员,而且是作为那些支持他们工作的人,以确保他们尽可能安全。
以上是持续威胁:为什么像 Logell 和 Springell 这样的重大漏洞还是很严重的细节,请多关注图灵教育的其他相关文章!
