在 Log4Shell 高危漏洞事件披露几乎整整一年之后,新的数据显示,对全球大多数组织来说,补救工作是一个漫长、缓慢、痛苦的过程。

根据漏洞扫描领先者 Tenable 公司的遥测数据来看,截至今年10月,超过70%被扫描的企业仍然受到 Log4shell 漏洞(CVE-2021-44228)的影响,这可能会导致企业持续面临数据泄露的风险。Tenable 称,他们收集了超过5亿次测试的数据,发现有高达72%的企业仍在努力补救去年12月的 Log4j 漏洞。“当2021年12月,Log4shell漏洞被发现时,世界各地的组织争相确定其风险。在其披露后的几周内,各个组织将资源集中于研究此漏洞,并投入数万小时来进行识别和修复,”Tenable 说,一个联邦机构报告称,其安全团队仅在Log4j漏洞响应方面就投入了33,000小时。

Tenable 遥测发现,截止2021年12月,每10个企业资产中就有1个易受 Log4shell 漏洞攻击。这些暴露的资产包括各类服务器、网络应用程序、容器和物联网设备。到2022年10月的数据则有所改善,只有2.5%的资产易受影响,但值得警惕的是,在这些资产中有近三分之一(29%)的资产在进行全面修复之后,依旧再次受到 Log4shell的影响。“对于如此广泛存在的漏洞,全面修复是难以实现的,并且需要记住漏洞修复并非一劳永逸的过程。”Tenable 首席安全官 Bob Huber说。

Huber 解释说,虽然企业可能已经完全修复了这个漏洞,但随着新的资产(如电脑、服务器、存储设备、容器、云实例等)进入企业环境中,他们仍有可能再次遇到 Log4shell 的问题。扫描数据显示,全球已完全修复该问题的企业或组织的数量增加了14个百分点

“超过一半的组织在研究期间容易受到 Log4j 的攻击,这突显了 Log4j 的普遍性以及持续修复的必要性,即便之前已经实现了完全修复。”Tenable 说,“截至2022年10月,29%曾感染漏洞的资产在实现全面修复后再次重新引入了 Log4Shell。”

在经历了此次事件之后,美国政府呼吁业界采用相关工具和程序来管理数字化资产和漏洞,记录漏洞应对方案、优化 SBOM 工具,并增加对开源软件安全的投入。

参考链接:
https://www.securityweek.com/one-year-later-log4shell-remediation-slow-painful-slog

Log4Shell 漏洞披露已近一年,它对我们还有影响吗?的更多相关文章

  1. Log4shell漏洞研究及其挖矿案例分析

    本文首发于云影实验室,为本人创作,现转载到个人博客,记录一下. 原文链接:https://mp.weixin.qq.com/s/O2xHr2OEHiga-qTnbWTxQg Apache Log4j是 ...

  2. [转帖]AMD霄龙安全加密虚拟化曝漏洞:已修复

    AMD霄龙安全加密虚拟化曝漏洞:已修复 https://www.cnbeta.com/articles/tech/862611.htm 硬件的安全问题 今年初,Google的一位研究人员发现,AMD ...

  3. CVE-2019-0686|Microsoft Exchange特权提升漏洞补丁已发布

    Microsoft Exchange Server中存在一个特权提升漏洞.成功利用此漏洞的攻击者可以获得与Exchange服务器的任何其他用户相同的权限.这可能允许攻击者执行诸如访问其他用户的邮箱之类 ...

  4. Appscan漏洞之已解密的登录请求

    本次针对 Appscan漏洞 已解密的登录请求 进行总结,如下: 1.1.攻击原理 未加密的敏感信息(如登录凭证,用户名.密码.电子邮件地址.社会安全号等)发送到服务器时,任何以明文传给服务器的信息都 ...

  5. 这款 WordPress商用插件 0day 漏洞满满,且已遭利用

    Wordfence 安全研究员发布报告称,WordPress 商用插件 Total Donations 受多个 0day 漏洞的影响,且这些漏洞已遭利用. 这些严重的漏洞影响所有已知的 Total D ...

  6. CVE-2017-11882漏洞 Msf利用复现

    中午时候收到了推送的漏洞预警,在网上搜索相关信息看到很多大牛已经开发出生成doc文档的脚本和msf的poc,本文记录CVE-2017-11882 漏洞在 Msf下的利用. 0x00 漏洞简介 2017 ...

  7. 如何通过代码审计挖掘REDos漏洞

    写这篇文章的目的一是由于目前网上关于java代码审计的资料实在是太少了,本人作为一个java代码审计的新手,深知学习java代码审计的难受之处,所以将自己学习过程中挖掘的一些漏洞写成博客发出来希望可以 ...

  8. 通用漏洞评估方法CVSS 3.0 计算公式及说明

    CVSS 3.0 计算公式及说明 一.基础评价 1. 基础评价公式为: 当 影响度分值 <= 0: 基础分值 = 0 当 0 < 影响度分值 + 可利用度分值 < 10: 作用域 = ...

  9. 【转帖】2018年Windows漏洞年度盘点

    2018年Windows漏洞年度盘点丨老漏洞经久不衰,新0day层出不穷 腾讯电脑管家2019-02-12共17875人围观 ,发现 1 个不明物体网络安全资讯 https://www.freebuf ...

  10. CPU特性漏洞测试(Meltdown and Spectre)

    2018年1月4日,国外安全研究人员披露了名为"Meltdown"和"Spectre"两组CPU特性漏洞,该漏洞波及到近20年的Intel, AMD, Qual ...

随机推荐

  1. Python:基础&爬虫

    Python:基础&爬虫 Python爬虫学习(网络爬虫(又称为网页蜘蛛,网络机器人,在FOAF社区中间,更经常的称为网页追逐者),是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本.另 ...

  2. Util应用框架基础(一) - 依赖注入

    本节介绍Util应用框架依赖注入的使用和配置扩展. 文章分为多个小节,如果对设计原理不感兴趣,只需阅读基础用法部分即可. 概述 当你想调用某个服务的方法完成特定功能时,首先需要得到这个服务的实例. 最 ...

  3. Markdown使用心得(简单用法解析)

    Markdown使用心得(简单用法解析) Markdown的优势 个人看来,MD的优势在于脱离对鼠标的依赖,在简单的熟悉后,从段落格式到字体特效的实现都可以完全脱离鼠标.避免了为了格式和艺术效果多次将 ...

  4. 【腾讯云 HAI域探秘】探索AI绘画之路:利用腾讯云HAI服务打造智能画家

    前言 随着人工智能的飞速发展,AI在艺术创作领域的应用正经历着一场革命性的变革.在这个数字时代,腾讯云的高性能应用服务HAI(Hyper Application Inventor)为艺术家和创作者提供 ...

  5. java中ArrayList和LinkedList的区别

    Java中ArrayList和LinkedList都是List集合的实现类,它们都可以用来存储一组有序的元素,但是它们的内部实现方式不同,在使用时也有不同的适用场景. ArrayList是一个基于动态 ...

  6. Netty源码学习5——服务端是如何读取数据的

    系列文章目录和关于我 零丶引入 在前面<Netty源码学习4--服务端是处理新连接的&netty的reactor模式>的学习中,我们了解到服务端是如何处理新连接的,即注册Serve ...

  7. 旺店通·企业奇门和用友BIP接口打通对接实战

    旺店通·企业奇门和用友BIP接口打通对接实战 接通系统:旺店通·企业奇门 旺店通是北京掌上先机网络科技有限公司旗下品牌,国内的零售云服务提供商,基于云计算SaaS服务模式,以体系化解决方案,助力零售企 ...

  8. VLOOKUP函数10种经典用法

    VLOOKUP函数是Excel中非常常用的函数之一,可以用于在一个区域或表格中查找某个值,并返回该值所在行的另一个指定列中的数值.以下是VLOOKUP函数的10种经典用法: 基本的VLOOKUP用法: ...

  9. 使用Spring Cache高效处理缓存数据

    Spring Cache是Spring框架提供的一种缓存抽象,可以有效地处理缓存数据.使用Spring Cache可以简化开发过程,提高应用程序的性能和可扩展性. 本文将详细介绍如何使用Spring ...

  10. 🎉开发者的福音:TinyVue 组件库文档大优化!类型更详细,描述更清晰!

    你好,我是 Kagol. 前言 从今年2月份开源以来,有不少朋友给我们 TinyVue 组件库提了文档优化的建议,这些建议都非常中肯,我们也在持续对文档进行优化,并且从中总结出了大家对于文档优化的一些 ...