พบ App Log4J กว่า 30% ใช้ library version ที่มีช่องโหว่
นักวิจัยพบว่าประมาณ 38% ของแอปพลิเคชันที่ใช้ไลบรารี Apache Log4j กำลังใช้เวอร์ชันที่มีช่องโหว่ด้านความปลอดภัย ซึ่งรวมถึง Log4Shell (CVE-2021-44228) ซึ่งเป็นช่องโหว่ทีมีระดับ Critical แม้ว่าช่องโหว่ดังกล่าวจะมีการอัปเดตเพื่อแก้ไขไปแล้วนานกว่าสองปีก็ตาม
Log4Shell CVE-2021-44228 (คะแนน CVSS 10/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่จำเป็นต้องผ่านการยืนยันตัวตน ที่ทำให้ผู้โจมตีสามารถเข้าควบคุมระบบได้อย่างสมบูรณ์ซึ่งส่งผลกระทบต่อ Log4j 2.0-beta9 จนถึง 2.15.0
โดยช่องโหว่ดังกล่าวเป็นช่องโหว่ Zero-day ที่ถูกนำไปใช้ในการโจมตีมาตั้งแต่วันที่ 10 ธันวาคม 2021 ซึ่งความง่ายในการโจมตี ผลกระทบด้านความปลอดภัยที่รุนแรง และส่งผลกระทบเป็นวงกว้างได้ทำให้กลายเป็นที่นิยมของเหล่า Hacker ที่นำช่องโหว่ดังกล่าวไปใช้ในการโจมตีเป้าหมาย
(more…)